防火墙换成shorewall后客户端无法上网

jxgzoyke

前面是用的iptables来代理上网的，想试试shorewall，但是安装好后网关可以上网，也能ping通下面的机子，但是客户端就是无法上网，我把/etc/sysctl.conf文件里的network_ipv4_forward也改成1了还是不行。

配置如下，请哪位大哥帮我瞧瞧。

eth0接内网，eth1接外网。
/etc/shorewall/zones文件内容：
#ZONE                DISPLAY                COMMENTS
wan                         INTERNET                INTERNET-eth1
lan                           LAN                         LAN-eth0


/etc/shorewall/interfaces文件内容：
#ZONE         INTERFACE        BROADCAST         OPTIONS
#
lan       eth0          192.168.0.255
wan       eth1             detect

/etc/shorewall/policy文件内容：
#SOURCE                DEST                POLICY                LOG                LIMIT:BURST
#                                                LEVEL
fw      all         ACCEPT
lan     wan     ACCEPT
wan   all       DROP
all      all        REJECT


/etc/shorewall/masq文件内容：
#INTERFACE                SUBNET                ADDRESS                PROTO        PORT(S)        IPSEC
eth0                    192.168.0.254/32      外网IP
eth0                    192.168.0.0/24         外网IP

jxgzoyke

/etc/shorewall/masq文件内容：
#INTERFACE SUBNET ADDRESS PROTO PORT(S) IPSEC
eth0 192.168.0.254/32 外网IP
eth0 192.168.0.0/24 外网IP

为什么把
eth0 192.168.0.0/24 外网IP
改成:
eth1 192.168.0.0/24 外网IP
就行了.难道这里本来就是只能指定外网网卡的?但是"eth0 192.168.0.254/32 外网IP"这句不用指定外网网卡却没问题.
谁能讲下原因啊?

roamingo

第一列INTERFACE是外网接口。(手册上关于INTERFACE这列是这样写：The interface that will masquerade the subnet; this is normally your internet interface.)

“eth0 192.168.0.255/32 外网IP”这句没用。

springwind426

eth0接内网，eth1接外网

既然你的外网网卡是eth1，那么就得在eth1上做地址转换

在内网网卡上做地址转换干什么？

michaelhan

学习中......
内网比如说要把192.168.3.4转成192.168.0.4可以吗?

jxgzoyke

什么意思？说明白点