iptables的NAT方式上网慢的问题

由 vpnsir 在 09-02-2003 08:31 发表:

iptables的NAT方式上网慢的问题

我的机器CPU是P42.4,256M内存,系统为RH9, 局域网内部有八十台机器我用IPTABLES做了个NAT,但是上网的时候比较慢,以前用的是NETSCREEN防火墙用NAT上网,速度很快,下面是我做的配置

echo "1" > /proc/sys/net/ipv4/ip_forward

/sbin/iptables -F INPUT

/sbin/iptables -F OUTPUT

/sbin/iptables -F FORWARD

/sbin/iptables -F -t nat

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.100.0/24 -j SNAT --to 10.3.0.198

#192.168.100.0 是我内部局域网网段 10.3.0.198是电信给我们的地址 eth0是接入电信接点的网卡

iptables -t nat -A PREROUTING -i eth0 -d 10.3.0.198 -j DNAT --to 192.168.100.0

此外, 我还在eth0网卡上绑定了3个地址分别为:10.3.0.194 195 和196

做了如下设置:

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.100.1/24 -j SNAT --to 10.3.0.194

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.100.2/24 -j SNAT --to 10.3.0.195

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.100.3/24 -j SNAT --to 10.3.0.196

iptables -t nat -A PREROUTING -i eth0 -d 10.3.0.194 -j DNAT --to 192.168.100.1

iptables -t nat -A PREROUTING -i eth0 -d 10.3.0.195 -j DNAT --to 192.168.100.2

iptables -t nat -A PREROUTING -i eth0 -d 10.3.0.196 -j DNAT --to 192.168.100.3

这就是我所有的iptables的配置,现在是用户打开网页速度都很慢,希望能得到你们的帮助,谢谢!

由 stanlogin 在 09-02-2003 08:36 发表:

我不太明白你下面这四条做什么用:

iptables -t nat -A PREROUTING -i eth0 -d 10.3.0.198 -j DNAT --to 192.168.100.0

iptables -t nat -A PREROUTING -i eth0 -d 10.3.0.194 -j DNAT --to 192.168.100.1

iptables -t nat -A PREROUTING -i eth0 -d 10.3.0.195 -j DNAT --to 192.168.100.2

iptables -t nat -A PREROUTING -i eth0 -d 10.3.0.196 -j DNAT --to 192.168.100.3

把他们先删除再试试~

_____>小刀

由 vpnsir 在 09-02-2003 09:47 发表:

iptables -t nat -A PREROUTING -i eth0 -d 10.3.0.198 -j DNAT --to 192.168.100.0 ]

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.100.0/24 -j SNAT --to 10.3.0.198

#这两条的意思就是让192.168.100.0的所有机器都能通10.3.0.198这个地址来上网啊,其实局域网就用这条语句就可以全部上网了,不过就是很慢啊,请问你们一般都是怎么用的啊/? 拜托了!

由 tower 在 09-02-2003 11:03 发表:

我不知道为什么慢,不过我想你要是想让192.168.100.0-4单独占用

10.3.0.198-196,应该把这8句放到前面去。在同一chain中,如果前面match了,后面的就不会检查了。

netscreen是硬件fw,应该比你这台只有一块网卡的要强劲的多 怎么的也多花几十块钱弄两块网卡

由 vpnsir 在 09-02-2003 11:58 发表:

我本来就是两块网卡啊

由 ahaleo 在 09-02-2003 12:04 发表:

加上

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.100.0/24 -j MASQUERADE

由 tower 在 09-02-2003 13:21 发表:

sorry,没看清楚,是两块卡。

问一下在网吧里的做过的朋友,80台带的动吗?

我原来单位只带过50台不到,还什么问题,50和80好像是一个数量级的。不明白了

由 vpnsir 在 09-02-2003 14:34 发表:

> quote: > > * * * > > 最初由 ahaleo 发表
>
> **加上
>
> iptables -t nat -A POSTROUTING -o eth0 -s 192.168.100.0/24 -j MASQUERADE ** > > * * *

我有合法地址的!

由 oyzjin 在 09-02-2003 14:54 发表:

> quote: > > * * * > > 最初由 vpnsir 发表
>
> 我有合法地址的! > > * * *

合法地址也可这样啊!

我的就这一句(当然还有很多制语句)很快啊!(四五十台)

k7_550 asus_kx133 win98 winnt

c433 810 redhat9.01 23G_scsi128m

由 空心菜 在 09-02-2003 15:49 发表:

只要一句即可

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.100.0/24 -j MASQUERADE

iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.100.0/24 -j MASQUERADE

雪中兜售空心菜

只为过个快乐年

由 ahaleo 在 09-02-2003 18:08 发表:

> quote: > > * * * > > 最初由 vpnsir 发表 <br

Published At
Categories with 服务器类
Tagged with
comments powered by Disqus