我快要疯了,同一台机器,同一段iptables,为什么不能用呢?

FallenAngle

我还是先说说网络环境吧:
FC4:  2 块网卡:
eth0:电信,外网:222.88.20.*/255.255.255.192/
          dns:219.150.150.150/219.150.32.132
eth1:内网:192.168.1.1/255.255.255.0

前天,我用FC4建了一个上网服务器:用的是iptables,如下:
echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/modprobe ip_tables
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_nat
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprboe ip_nat_ftp
/sbin/iptables -F INPUT
/sbin/iptables -F FORWARD
/sbin/iptables -F POSTROUTING -t nat
/sbin/iptables -P FORWARD DROP
/sbin/iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j MASQUERADE
/sbin/iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.1.1/24 -j ACCEPT
当时OK了,客户机能上了

第2天,我实验了公司的网通adsl线路,动态IP,还要装客户端,没搞成(也不知为何,提示:iptables or network...........),现在不说这个了,让我没想到的是,当我换成上述的电信线,无论如何改iptables,客户机怎么也上不了网了
现象:客户机ping192.168.1.1通,ping 222.88.20.*通,ping 自己通,dns也设了,ping dns不通,上不了网
折腾2天了,也没弄明白是哪的事?兄弟们,帮帮忙,帮我想想办法

stoneme

1,你的iptables是否保存了，看/etc/sysconfig/iptables
2,你用的动态IP换回来后还通不
3,用ping www.163.com来试客户DNS是否正常，并看不否能ping通
4,用/etc/init.d/iptables status 把iptables打出来巾上看看

sihexuan

客户机ping dns通不通?

FallenAngle

Post by stoneme
1,你的iptables是否保存了，看/etc/sysconfig/iptables
2,你用的动态IP换回来后还通不
3,用ping www.163.com来试客户DNS是否正常，并看不否能ping通
4,用/etc/init.d/iptables status 把iptables打出来巾上看看

1.  /etc/sysconfig/iptables的内容如下:
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT

2.eth0的IP我已换成:222.88.20.*了,完全按上次成功的设置搞的
3.客户机ping dns, 不通
4./etc/init.d/iptables status的内容如下:
表格：nat
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination

Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

表格：filter
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
RH-Firewall-1-INPUT  all  --  0.0.0.0/0            0.0.0.0/0

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
RH-Firewall-1-INPUT  all  --  0.0.0.0/0            0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain RH-Firewall-1-INPUT (2 references)
target     prot opt source               destination
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     icmp --  0.0.0.0/0            0.0.0.0/0           icmp type 255
ACCEPT     esp  --  0.0.0.0/0            0.0.0.0/0
ACCEPT     ah   --  0.0.0.0/0            0.0.0.0/0
ACCEPT     udp  --  0.0.0.0/0            224.0.0.251         udp dpt:5353
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0           udp dpt:631
ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
REJECT     all  --  0.0.0.0/0            0.0.0.0/0           reject-with icmp-host-prohibited

FallenAngle

我接触linux还不到一周呢,真正的菜鸟,帮帮我吧

FallenAngle

把iptables 规则的eth1该为eth0就OK了
唉,copy惹的祸,不求甚解呀,教训呀
以后,兄弟可得多教我呀

sihexuan

hehe，刚看到你发的悄悄话都好久的了，过来看问题解决了，新手还是自己多写写规则，这样能帮助理解和提高

smile7799

呵呵 ，我也 刚刚开始接触LINUX  以后各位还要帮我哦~