作者 主題: NAT 後的機器可以ping 得到, NAT主機卻不行?  (閱讀 2484 次)

0 會員 與 1 訪客 正在閱讀本文。

changchichung

  • 憂鬱的高中生
  • ***
  • 文章數: 148
    • 檢視個人資料
Ethernet adapter 區域連線:

        Connection-specific DNS Suffix  . :
        Description . . . . . . . . . . . : Realtek RTL8139 Family PCI Fast Ethe
rnet NIC
        Physical Address. . . . . . . . . : 00-02-3F-6B-AE-87
        Dhcp Enabled. . . . . . . . . . . : No
        IP Address. . . . . . . . . . . . : 192.168.10.25
        Subnet Mask . . . . . . . . . . . : 255.255.255.0
        Default Gateway . . . . . . . . . : 192.168.10.12
        DNS Servers . . . . . . . . . . . : 192.168.10.243
                                            192.168.10.240

C:\Documents and Settings\chchang>
這是我的Notebook 的網路設定
192.168.10.12  是RH 9.0 作為 NAT 主機
底下是trace 的結果
C:\Documents and Settings\chchang>tracert mail.pic.com.tw

Tracing route to mail.pic.com.tw [211.20.31.18]
over a maximum of 30 hops:

  1    <1 ms    <1 ms    <1 ms  192.168.10.12
  2     1 ms     1 ms     1 ms  89.16.30.61.isp.tfn.net.tw [61.30.16.89]
  3    10 ms     9 ms     *     211.78.222.1
  4    10 ms    10 ms     9 ms  10.4.0.1
  5    10 ms     9 ms    10 ms  233.47.30.61.isp.tfn.net.tw [61.30.47.233]
  6    10 ms    10 ms    10 ms  246.47.30.61.isp.tfn.net.tw [61.30.47.246]
  7    10 ms    11 ms    12 ms  211.22.41.154
  8    10 ms     9 ms    11 ms  tp-s2-c12r1.router.hinet.net [211.22.32.70]
  9    10 ms    10 ms     9 ms  tp-s2-c6r12.router.hinet.net [211.22.34.137]
 10    13 ms    12 ms    12 ms  h193.s83.ts.hinet.net [168.95.83.193]
 11    43 ms    64 ms    42 ms  211.20.31.17
 12    46 ms    46 ms    49 ms  211.20.31.22
 13    47 ms    47 ms    47 ms  dns.pic.com.tw [211.20.31.18]

Trace complete.

可是我在 192.168.10.12 這台機器上面去traceroute 卻不會通?
[root@gw mail]# ping mail.pic.com.tw
PING mail.pic.com.tw (211.20.31.18) 56(84) bytes of data.

--- mail.pic.com.tw ping statistics ---
6 packets transmitted, 0 received, 100% packet loss, time 5014ms
[root@gw mail]# traceroute mail.pic.com.tw
traceroute to mail.pic.com.tw (211.20.31.18), 30 hops max, 38 byte packets
 1  * * *
 2  * * *
 3  * * *
 4  * * *
 5  * * *
 6  * * *
 7  * * *
 8  * * *
 9  * * *
10  *
這台機器有參考 multipath 的作法
也測試成功了
會是這個的關係嗎?
可是為何我的NAT Client 又可以通?

jou

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 4989
  • 性別: 男
    • 檢視個人資料
Re: NAT 後的機器可以ping 得到, NAT主機卻不行?
« 回覆 #1 於: 2004-03-08 15:24 »
引述: "changchichung"
可是我在 192.168.10.12 這台機器上面去traceroute 卻不會通?
[root@gw mail]# ping mail.pic.com.tw
PING mail.pic.com.tw (211.20.31.18) 56(84) bytes of data.


這時候就要看看您的防火墻對本機 output chain 是如何設計的?

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17465
    • 檢視個人資料
    • http://www.study-area.org
NAT 後的機器可以ping 得到, NAT主機卻不行?
« 回覆 #2 於: 2004-03-08 16:16 »
可能是 INPUT 與 FORWARD 的規則不一樣吧...

jou

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 4989
  • 性別: 男
    • 檢視個人資料
NAT 後的機器可以ping 得到, NAT主機卻不行?
« 回覆 #3 於: 2004-03-08 16:39 »
難道說他把 ping or traceroute 的回應封包給 drop 掉?猜的。
樓主:iptables 的關機佈置圖能借看一下?  ^_^

changchichung

  • 憂鬱的高中生
  • ***
  • 文章數: 148
    • 檢視個人資料
NAT 後的機器可以ping 得到, NAT主機卻不行?
« 回覆 #4 於: 2004-03-09 00:05 »
引述: "jou"
難道說他把 ping or traceroute 的回應封包給 drop 掉?猜的。
樓主:iptables 的關機佈置圖能借看一下?  ^_^


已經把 rules 通通dump 列印出來
薄薄兩張A4
正在邊聽Natking Cole 邊檢查中
 :cry:  :cry:  :cry:

  p.s 啥是關機佈置圖 ??

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17465
    • 檢視個人資料
    • http://www.study-area.org
NAT 後的機器可以ping 得到, NAT主機卻不行?
« 回覆 #5 於: 2004-03-09 00:34 »
試一試下面的命令也可推測個大概:

iptables -I INPUT -p icmp -j ACCRPT
iptables -I INPUT -p udp -j ACCRPT