作者 主題: iptables設定  (閱讀 8548 次)

0 會員 與 1 訪客 正在閱讀本文。

momo

  • 懷疑的國中生
  • **
  • 文章數: 76
    • 檢視個人資料
iptables設定
« 於: 2004-02-10 12:31 »
route : 61.221.198.201
                                |
                                | eth0:61.221.198.203
                       ----------------
                      | LINUX 主機   |
                       ----------------
                                | eth1:61.221.198.204
                                |
                            -------
                           | HUB |
                            -------
                                |
                           computer IP
                              61.221.198.205


請問再設計防火牆時,上面的IP可以都是同一區段的IP嗎?
可否不用再切割子網路。

如果可以的不用切割的話,那請問IPTABLES是不是像我打的這樣就可以讓外面直接連到.205呢?
iptables -A FORWARD -i eth0 -o eth1 -d 61.221.198.205 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -s 61.221.198.205 -j ACCEPT

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17484
    • 檢視個人資料
    • http://www.study-area.org
iptables設定
« 回覆 #1 於: 2004-02-10 15:19 »
可以用 proxy arp (請用搜尋找一找吧...)

momo

  • 懷疑的國中生
  • **
  • 文章數: 76
    • 檢視個人資料
iptables設定
« 回覆 #2 於: 2004-02-13 21:07 »
引用

可以用 proxy arp


我有照著網站裡有一篇NAT說明裡做
把arp 如下加進去,且有把
/proc/sys/net/ipv4/eth0/proxy_arp改為1
/proc/sys/net/ipv4/eth1/proxy_arp改為1
 
arp -s 61.221.198.202 00:D0:B7:91:17:F5 pub
route add -host 61.221.198.202 dev eth1

arp -s 61.221.198.201 00:0D:61:40:EC:EC pub
route add -host 61.221.198.201 dev eth0
然後在+入iptables
iptables -A FORWARD -i eth0 -o eth1 -d 61.221.198.205 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -s 61.221.198.205 -j ACCEPT

但是我加過後我 61.221.198.202還是無法連出去
外面也無法PING到61.221.198.202
請問這是哪還要做修改呢?

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17484
    • 檢視個人資料
    • http://www.study-area.org
iptables設定
« 回覆 #3 於: 2004-02-13 21:41 »
嗯... 因為不明瞭你的環境,不確定問題在哪~~~

建議如下:
1) 將所有 firewall 暫時關閉。
2) 確認 ip_forward 有打開。
也就是先簡化測試環境,再慢慢試...

同時,多用 arp 命令查看 arp table 是否如你所設計的一致。

momo

  • 懷疑的國中生
  • **
  • 文章數: 76
    • 檢視個人資料
iptables設定
« 回覆 #4 於: 2004-02-14 02:32 »
我整個簡化後重新檢查一遍
發覺我APR那一行MAC位置有打錯
改過後就OK啦,救PING的到啦
謝謝站長

momo

  • 懷疑的國中生
  • **
  • 文章數: 76
    • 檢視個人資料
iptables設定
« 回覆 #5 於: 2004-02-14 02:35 »
還有一個疑問
那如果我在.202那端有很多台主機的話
是不是每台的IP位置和MAC位址都要在LINUX這台主機上設定arp 和route呢?

jou

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 4989
  • 性別: 男
    • 檢視個人資料
iptables設定
« 回覆 #6 於: 2004-02-14 07:26 »
愈來愈複雜了,試試看用 IP MASQUERADE 可不可以達到。
也就是說 .202 後端的 IP (其 gateway 都設成 .202)都偽裝成 .202 的 IP 出去。

momo

  • 懷疑的國中生
  • **
  • 文章數: 76
    • 檢視個人資料
iptables設定
« 回覆 #7 於: 2004-02-14 11:06 »
如果沒設定porxy_arp的話
單用IP偽裝不行,我有試過
我用proxy_arp後,我只要設定FORWARD規則就好嚕

ericshei

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 2257
    • 檢視個人資料
iptables設定
« 回覆 #8 於: 2004-02-16 09:54 »
nat跟arp proxy架構與用途是不同的端看您的考量!

在下公司的internet server就是用arp proxy的架構!原因無它,想要有一個集中式的firewall,曾考慮過nat,多切subnet,L2 firewall,arp proxy,因為我想避免掉潛在性的連線問題所以不考慮NAT,第二isp不給動atu-r所以切subnet做罷,而ip也不想浪費,L2 firewall我覺得這是王道,但我不會架,所以最後我選arp proxy. XD

ericshei

  • 全區板主
  • 俺是博士!
  • *****
  • 文章數: 2257
    • 檢視個人資料
Re: iptables設定
« 回覆 #9 於: 2004-02-16 09:54 »
引述: "momo"
還有一個疑問
那如果我在.202那端有很多台主機的話
是不是每台的IP位置和MAC位址都要在LINUX這台主機上設定arp 和route呢?


是的.

momo

  • 懷疑的國中生
  • **
  • 文章數: 76
    • 檢視個人資料
iptables設定
« 回覆 #10 於: 2004-02-19 15:39 »
請問我目前發現有一種情形就是
每當我增加壹台主機在.205那端時
我也在LINUX主機上增加一行arp 和 route
但是新增加的那台主機卻不能連線出去要等好一陣子
就忽然恢復正常,可以連線。

請問這是什麼問題導致的呢?

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17484
    • 檢視個人資料
    • http://www.study-area.org
iptables設定
« 回覆 #11 於: 2004-02-19 16:02 »
arp table 是有 TTL  的... 你要等 cache time out 才能用啊...

momo

  • 懷疑的國中生
  • **
  • 文章數: 76
    • 檢視個人資料
iptables設定
« 回覆 #12 於: 2004-02-19 17:46 »
引用

arp table 是有 TTL 的... 你要等 cache time out 才能用啊...


可以把CHCHE 清除嗎?
或是縮短他TIME OUT的時間

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17484
    • 檢視個人資料
    • http://www.study-area.org
iptables設定
« 回覆 #13 於: 2004-02-19 18:19 »
man arp ,然後看 -d 參數...

momo

  • 懷疑的國中生
  • **
  • 文章數: 76
    • 檢視個人資料
iptables設定
« 回覆 #14 於: 2004-02-19 18:24 »
我又重新試了一遍,我把LINUX重開機
開完機後我先加入第一台主機==>正常可以連出去
我又增加壹台主機  ====>無法連線出去
我等了大概兩小時,還是無法連。
怎麼會這樣呢?TTL TIME OUT時間沒那麼久吧

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17484
    • 檢視個人資料
    • http://www.study-area.org
iptables設定
« 回覆 #15 於: 2004-02-20 07:45 »
那就不是 arp cache 而是其它問題了...

我不是神仙,不能未卜先知哦~~~

momo

  • 懷疑的國中生
  • **
  • 文章數: 76
    • 檢視個人資料
iptables設定
« 回覆 #16 於: 2004-02-20 10:00 »
我覺得奇怪的是,有兩台主機
壹台可以連出去,另壹台卻連不出去
arp和 route設定我都仔細看過,都無誤
這真的有點抓不到頭緒。快暈倒嚕 :o

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17484
    • 檢視個人資料
    • http://www.study-area.org
iptables設定
« 回覆 #17 於: 2004-02-20 10:06 »
嗯,若不是 firewall 規則問題的話,將兩片網路卡互換如何?

kuolung

  • 俺是博士!
  • *****
  • 文章數: 1031
    • 檢視個人資料
    • http://www.kuolung.net
Re: iptables設定
« 回覆 #18 於: 2004-02-21 08:55 »
引述: "momo"
我覺得奇怪的是,有兩台主機
壹台可以連出去,另壹台卻連不出去
arp和 route設定我都仔細看過,都無誤
這真的有點抓不到頭緒。快暈倒嚕 :o


我覺得,您是不是應該把每一台主機的設定,列出來一下,
每一台的 ip , mask , default gw 都列出來一下,

這樣要幫您抓問題,比較容易

另外,我在抓網路問題的時候,我會在 Linux 這一台,開好幾個視窗 出來
然後在每一個視窗下 tcpdump -i ethx -n

去看封包怎麼走的,也許您就比較容易知道,是那一段有問題了
=========================
http://www.kuolung.net
==========================