设为首页收藏本站

LinuxSir.cn,穿越时空的Linuxsir!

 找回密码
 注册
搜索
热搜: shell linux mysql
LinuxSir.cn,穿越时空的Linuxsir!»论坛 Linux 发行版讨论区 —— LinuxSir.cn Debian Linux Debian5 一个很奇怪的网络问题
返回列表 发新帖
查看: 988|回复: 4

Debian5 一个很奇怪的网络问题

[复制链接]
shpchp
发表于 2009-10-31 23:53:50 | 显示全部楼层 |阅读模式
我用 Debian5 做服务器, 通过 iptables 让其他机器可以上网。

在 Debian 服务器上上网没有问题,在其他机器上网遇到了奇怪的问题:
较近的网站(国内网站)可以访问,较远的网站(国外网站)不能访问!

由于有些网站是可以访问的,所以 iptables 的设置应该没有问题。估计是其他设置有问题?(注: 不能访问的网站都能被ping通)
回复

使用道具 举报

发表于 2009-11-1 10:09:17 | 显示全部楼层
您应该把问题描述清楚些。
网络拓扑
网卡个数
iptables 规则
有无 代王里 服务器
dns 解析是否异常

一般两个网卡的情况,简单配置一下 FORWARD、NAT,并使能内核中的 forward,即可满足一般要求。
回复 支持 反对

使用道具 举报

shpchp
 楼主| 发表于 2009-11-1 14:24:07 | 显示全部楼层
网络拓扑非常简单:
Debian5 (192.168.0.254) 做服务器, 2块网卡,1块接电信adsl, 另一块接内网。
CentOS5 (192.168.0.1) 做客户端, 1块网卡。

Debian5 上网没有任何问题,所有网站都能访问。
Debian5 上的 iptables 配置应该也没有问题,因为 CentOS5 能通过 Debian5 访问部分网站。

CentOS5 只能访问较近的网站, 较远的网站(国外网站)无法访问。所有无法访问的网站都能 ping 通。

CentOS5 的设置没有任何问题,问题只可能出在 Debian5 上... 想破头都想不出是啥原因。。。

iptables 规则应该没有问题, 这是 Debian5 服务器上的规则:
  2. *filter
  3. :INPUT ACCEPT [0:0]
  4. :FORWARD ACCEPT [0:0]
  5. :OUTPUT ACCEPT [0:0]
  6. :RH-Firewall-1-INPUT - [0:0]
  7. -A INPUT -j RH-Firewall-1-INPUT
  8. -A FORWARD -j RH-Firewall-1-INPUT
  9. -A RH-Firewall-1-INPUT -s 60.161.0.0/16 -j DROP
  10. -A RH-Firewall-1-INPUT -s 116.1.0.0/16 -j DROP
  11. -A RH-Firewall-1-INPUT -s 116.231.0.0/16 -j DROP
  12. -A RH-Firewall-1-INPUT -s 202.107.209.0/24 -j DROP
  13. -A RH-Firewall-1-INPUT -s 218.88.0.0/16 -j DROP
  14. -A RH-Firewall-1-INPUT -i lo -j ACCEPT
  15. -A RH-Firewall-1-INPUT -i eth1 -j ACCEPT
  16. -A RH-Firewall-1-INPUT -i vmnet8 -j ACCEPT
  17. -A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
  18. -A RH-Firewall-1-INPUT -p 50 -j ACCEPT
  19. -A RH-Firewall-1-INPUT -p 51 -j ACCEPT
  20. -A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
  21. -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
  22. -A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
  23. -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
  24. -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT
  25. #-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
  26. -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
  27. COMMIT
  28. *nat
  29. :PREROUTING ACCEPT [0:0]
  30. :OUTPUT ACCEPT [0:0]
  31. :POSTROUTING ACCEPT [0:0]
  32. -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE
  33. COMMIT
复制代码
回复 支持 反对

使用道具 举报

abby
发表于 2009-11-1 23:25:42 | 显示全部楼层
运行 iptables -t mangle -L -n
看看系统有无关于 tcpmss 字眼的规则,如果无,你要加上:

iptables -t mangle -o ppp0 --insert FORWARD 1 -p tcp --tcp-flags SYN,RST SYN -m tcpmss --mss 1400:1536 -j TCPMSS --clamp-mss-to-pmtu
回复 支持 反对

使用道具 举报

waq
发表于 2009-11-2 18:34:58 | 显示全部楼层
iptables有没有日志**啊?也许可以看出来是不是给它干掉了呢
回复 支持 反对

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表