[问题]关于iptables 共享上网的问题

Web、Mail、Ftp、DNS、Proxy、VPN、Samba、LDAP 等基础网络服务
回复
chasye
帖子: 333
注册时间: 2007-05-13 15:20

[问题]关于iptables 共享上网的问题

#1

帖子 chasye » 2007-09-29 7:17

# Generated by iptables-save v1.3.3 on Sat Sep 29 07:12:58 2007
*mangle
:PREROUTING ACCEPT [164300:204355389]
:INPUT ACCEPT [158661:202592615]
:FORWARD ACCEPT [1241:139218]
:OUTPUT ACCEPT [102518:46058112]
:POSTROUTING ACCEPT [103759:46197330]
-A PREROUTING -i eth0 -j TTL --ttl-set 64
COMMIT
# Completed on Sat Sep 29 07:12:58 2007
# Generated by iptables-save v1.3.3 on Sat Sep 29 07:12:58 2007
*nat
:PREROUTING ACCEPT [3361744:1054222090]
:POSTROUTING ACCEPT [30948:1867529]
:OUTPUT ACCEPT [37763:2278062]
-A POSTROUTING -o ppp+ -j MASQUERADE
COMMIT
# Completed on Sat Sep 29 07:12:58 2007
# Generated by iptables-save v1.3.3 on Sat Sep 29 07:12:58 2007
*filter
:INPUT DROP [273456:40935723]
:FORWARD ACCEPT [1294:146268]
:OUTPUT ACCEPT [4125688:1492812943]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 192.168.0.0/255.255.0.0 -i eth+ -p tcp -m tcp --dport 21 -m state --state NEW,RELATED,ESTABLISHED
-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
COMMIT
# Completed on Sat Sep 29 07:12:58 2007


以上是本人的iptables设置,本想共享上网,不过现在出了点小问题
客户机都可以ping到互联网的服务器,如baidu, google, 163...都ping得到, 但就是上不了网

希望大家帮帮忙看看问题在那里
页首
头像
iblicf
帖子: 3766
注册时间: 2007-01-15 17:15

#2

帖子 iblicf » 2007-09-29 7:58

dns , => /etc/resolv.conf , nameserver = xxxx
页首
chasye
帖子: 333
注册时间: 2007-05-13 15:20

#3

帖子 chasye » 2007-09-29 12:38

一拨号,里面就与了DNS的吗
客户机也是用那个DNS的
就是不行
页首
头像
qianwx
帖子: 730
注册时间: 2006-07-08 14:41

#4

帖子 qianwx » 2007-10-08 19:00

Iptables貌似是个防火墙软件,能作共享代理么???
要共享上网,可以试试看squide。。。。
页首
头像
xiehuipiaofeng
帖子: 85
注册时间: 2007-07-31 23:04

#5

帖子 xiehuipiaofeng » 2007-10-20 0:00

因为你没有说明你网络环境,我不知道你有几块网卡,所以不敢随便改动你的代码。现在只能是尝试解决了。
你在/etc/rc.local中添加一条:
echo 1 >/proc/sys/net/ipv4/ip_forward
然后代码可以尝试改一下:
-A INPUT -i lo -j ACCEPT
-A FORWARD -i lo -j ACCEPT
-A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
#-A INPUT -s 192.168.0.0/255.255.0.0 -i eth+ -p tcp -m tcp --dport 21 -m state --state NEW,RELATED,ESTABLISHED
#-A FORWARD -o ppp0 -p tcp -m tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu

eth0为其他机器能访问的局域网内的那个网卡。
你可以先试一下。
页首
头像
qianwx
帖子: 730
注册时间: 2006-07-08 14:41

#6

帖子 qianwx » 2007-10-24 22:11

再次说一句,,,要做代理,,,实际上还是squide更简单些~~~~IPtables的主功能毕竟还是防火墙,因此配置上可能稍嫌复杂些。。。。如果是个人使用,且没有什么太高的安全要求的,个人认为还是配置squide更方便。。。
页首
头像
qianwx
帖子: 730
注册时间: 2006-07-08 14:41

#7

帖子 qianwx » 2007-10-24 22:16

我们单位配置squide+iptables,squide负责控制上网,完成限制下载种类、限制可访问网址、控制上网时间、控制可访问网络用户(也就是哪些用户拥有哪些网络访问级别),分别控制他们在什么时候可访问什么样子的网站,或者只能使用对外的哪些功能(比如某些用户只能收发邮件但无法上网),还有许多功能。。。都能由你自由定制!!在代理服务器的功能上属于功能非常多的,最重要的是配置相对简单。。
页首
回复

回到 “服务器运维”