iT邦幫忙

0

linux nat竟然自行啟動!?

請問各位大大
小弟最近在做 L7-Filter的安裝
但安裝完後無意間發現
iptables 我都還沒開始做NAT建立

竟然就自行具備等同於以下功能的設定
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s $innet -o $EXTIF -j MASQUERADE

後來我把iptables 關掉想說如果是iptables 引起的話,應該就會讓NAT失效
結果後來試了一下在這底下的電腦依然可以透過這台server連出去

我把iptables 內規則刪光也一樣能讓NAT下的電腦連出去

所以想說可能是當初編kernel的時後啟動了什麼功能讓我的SERVER 可以自行當NAT主機
所以想請教各位學長
linux kernel 2.6.18-238.12.1.el5xen

內部是有那一個選項可以讓主機直接NAT使用?

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
4
逮丸逮丸
iT邦大師 1 級 ‧ 2011-07-18 19:29:56
最佳解答

試著把這個連到前一層的 default.xml 的連結拿掉:

<pre class="c" name="code">/etc/libvirt/qemu/networks/autostart/default.xml

可能是這個預設檔,
使得iptables裡有forward的規則。

從kernel的編號來看,
應是 redhat/centos 企業版之類,
有支援xen;
這檔案的所在目錄是 libvirt 套件所屬,
所以你也沒說清楚:

test4321提到:
試了一下在這底下的電腦依然可以透過這台server連出去

這些底下電腦是PC?還是在該主機裡建的虛擬機器?
所以推測把那 default.xml 給移開,
就可達到你的目的吧!

4
cmwang
iT邦大師 1 級 ‧ 2011-07-18 16:11:25

linux預設是不會做IP forward的,會不會是您用的distribution有相關的script啊(檢查一下/etc/rc3.d和/etc/sysconfig吧)....

test4321 iT邦新手 5 級 ‧ 2011-07-18 16:35:24 檢舉

我會這樣子想是因為我發現我用l7 filter 下的指令要drop http竟然無效
之後改drop ftp 一樣無效
指令下的下去
但系統跟本沒有擋 = =a

4
bzbz
iT邦新手 2 級 ‧ 2011-07-18 16:25:53

看一下/etc/sysctl.conf 的內容

Controls IP packet forwarding

net.ipv4.ip_forward = 1 #1:開啟 0:關閉

test4321 iT邦新手 5 級 ‧ 2011-07-18 16:36:54 檢舉

我這邊設定依然是 net.ipv4.ip_forward = 0
所以才會覺的奇怪 = =a

我要發表回答

立即登入回答