学步园

服务器
1。
root@ubuntu:~# ifconfig
as0t0     Link encap:未指定  硬件地址 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 
          inet 地址:5.5.0.1  点对点:5.5.0.1  掩码:255.255.248.0
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  跃点数:1
          接收数据包:0 错误:0 丢弃:0 过载:0 帧数:0
          发送数据包:0 错误:0 丢弃:0 过载:0 载波:0
          碰撞:0 发送队列长度:200
          接收字节:0 (0.0 B)  发送字节:0 (0.0 B)

as0t1     Link encap:未指定  硬件地址 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 
          inet 地址:5.5.8.1  点对点:5.5.8.1  掩码:255.255.248.0
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  跃点数:1
          接收数据包:7072 错误:0 丢弃:0 过载:0 帧数:0
          发送数据包:6776 错误:0 丢弃:0 过载:0 载波:0
          碰撞:0 发送队列长度:200
          接收字节:703269 (703.2 KB)  发送字节:2863127 (2.8 MB)

eth0      Link encap:以太网  硬件地址 00:1e:ec:c3:07:38 
          inet 地址:219.245.89.89  广播:219.245.89.255  掩码:255.255.255.0
          inet6 地址: fe80::21e:ecff:fec3:738/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  跃点数:1
          接收数据包:95993 错误:0 丢弃:0 过载:0 帧数:0
          发送数据包:90551 错误:0 丢弃:0 过载:0 载波:0
          碰撞:0 发送队列长度:1000
          接收字节:36113891 (36.1 MB)  发送字节:51139258 (51.1 MB)
          中断:18 基本地址:0xd800

eth1      Link encap:以太网  硬件地址 00:e0:4c:f0:26:e1 
          inet 地址:192.168.0.1  广播:192.168.0.255  掩码:255.255.255.0
          inet6 地址: fe80::2e0:4cff:fef0:26e1/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  跃点数:1
          接收数据包:19317 错误:0 丢弃:0 过载:0 帧数:0
          发送数据包:20911 错误:0 丢弃:0 过载:0 载波:0
          碰撞:0 发送队列长度:1000
          接收字节:2919480 (2.9 MB)  发送字节:20111031 (20.1 MB)
          中断:19 基本地址:0xd400

lo        Link encap:本地环回 
          inet 地址:127.0.0.1  掩码:255.0.0.0
          inet6 地址: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  跃点数:1
          接收数据包:11028 错误:0 丢弃:0 过载:0 帧数:0
          发送数据包:11028 错误:0 丢弃:0 过载:0 载波:0
          碰撞:0 发送队列长度:0
          接收字节:41685343 (41.6 MB)  发送字节:41685343 (41.6 MB)
分析:
从as0t0接收和发送字节数为0来看，as0t0应该没用到，这块虚拟网卡有什么用？或者说服务器为什么有两块虚拟网卡？5.5.0.1和5.5.8.1在子网掩码255.255.248.0下是不是一个网段！5.5.0.1/21表示5.5.0.1——5.5.7.255而5.5.8.1表示5.5.8.1——5.5.15.255（计算方法，5.5.8.1前面21位不变，余下位全为1）
这里的点对点如何理解？

2。
root@ubuntu:~# route -n
内核 IP 路由表
目标            网关            子网掩码        标志  跃点   引用  使用 接口
219.245.89.0    0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
5.5.0.0         0.0.0.0         255.255.248.0   U     0      0        0 as0t0
5.5.8.0         0.0.0.0         255.255.248.0   U     0      0        0 as0t1
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 eth1
0.0.0.0         219.245.89.254  0.0.0.0         UG    0      0        0 eth0
分析：
目标地址为5.5.8.0/255.255.248.0的网段是客户端虚拟网段，
但5.5.0.0/255.255.248.0网段呢？
去掉该条路由呢？
route del -net 5.5.0.0 netmask 255.255.248.0（终端操作，未进行网络重启操作）；
删除这条路由对终端ping 百度无影响；
但删除另一条
route del -net 5.5.8.0 netmask 255.255.248.0
客户端ping 百度无响应，但仍可在服务器端看到截获的包！
添加route add -net 5.5.8.0 netmask 255.255.248.0 dev as0t1 后
客户端再ping百度有响应！！

综上所述：目标地址为5.5.8.0的那条路由跟转发有关，去掉该条，
服务器仍可看到截获的包（截获应和客户端有关，即看客户端封装后发给谁），
但是没有转发出去！

3。转发还得看iptables啊
root@ubuntu:~# iptables-save
# Generated by iptables-save v1.4.4 on Wed Aug 22 16:11:05 2012
*mangle
:PREROUTING ACCEPT [37781:3441345]
:INPUT ACCEPT [83316:56485864]
:FORWARD ACCEPT [29705:11635358]
:OUTPUT ACCEPT [72943:88733163]
:POSTROUTING ACCEPT [102557:100363435]
:AS0_MANGLE_PRE_REL_EST - [0:0]
:AS0_MANGLE_TUN - [0:0]
-A PREROUTING -m state --state RELATED,ESTABLISHED -j AS0_MANGLE_PRE_REL_EST
-A PREROUTING -i as0t+ -j AS0_MANGLE_TUN
-A AS0_MANGLE_PRE_REL_EST -j ACCEPT
-A AS0_MANGLE_TUN -j MARK --set-xmark 0x2000000/0xffffffff
-A AS0_MANGLE_TUN -j ACCEPT
COMMIT
# Completed on Wed Aug 22 16:11:05 2012
# Generated by iptables-save v1.4.4 on Wed Aug 22 16:11:05 2012
*nat
:PREROUTING ACCEPT [16598:1611064]
:OUTPUT ACCEPT [2931:189542]
:POSTROUTING ACCEPT [2931:189542]
:AS0_NAT - [0:0]
:AS0_NAT_POST_REL_EST - [0:0]
:AS0_NAT_PRE - [0:0]
:AS0_NAT_PRE_REL_EST - [0:0]
:AS0_NAT_TEST - [0:0]
-A PREROUTING -m state --state RELATED,ESTABLISHED -j AS0_NAT_PRE_REL_EST
-A POSTROUTING -m state --state RELATED,ESTABLISHED -j AS0_NAT_POST_REL_EST
-A POSTROUTING -m mark --mark 0x2000000/0x2000000 -j AS0_NAT_PRE
-A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
-A AS0_NAT -o eth0 -j SNAT --to-source 219.245.89.89
-A AS0_NAT -o eth1 -j SNAT --to-source 192.168.0.1
-A AS0_NAT -j ACCEPT
-A AS0_NAT_POST_REL_EST -j ACCEPT
-A AS0_NAT_PRE -d 5.5.0.0/20 -j AS0_NAT_TEST
-A AS0_NAT_PRE -d 192.168.0.0/16 -j AS0_NAT_TEST
-A AS0_NAT_PRE -d 172.16.0.0/12 -j AS0_NAT_TEST
-A AS0_NAT_PRE -d 10.0.0.0/8 -j AS0_NAT_TEST
-A AS0_NAT_PRE -j AS0_NAT
-A AS0_NAT_PRE_REL_EST -j ACCEPT
-A AS0_NAT_TEST -o as0t+ -j ACCEPT
-A AS0_NAT_TEST -d 5.5.0.0/20 -j ACCEPT
-A AS0_NAT_TEST -j AS0_NAT
COMMIT
# Completed on Wed Aug 22 16:11:05 2012
# Generated by iptables-save v1.4.4 on Wed Aug 22 16:11:05 2012
*filter
:INPUT ACCEPT [28141:2771549]
:FORWARD DROP [124:7519]
:OUTPUT ACCEPT [72665:88709799]
:AS0_ACCEPT - [0:0]
:AS0_IN - [0:0]
:AS0_IN_POST - [0:0]
:AS0_IN_PRE - [0:0]
:AS0_OUT - [0:0]
:AS0_OUT_LOCAL - [0:0]
:AS0_OUT_S2C - [0:0]
:AS0_WEBACCEPT - [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j AS0_ACCEPT
-A INPUT -i lo -j AS0_ACCEPT
-A INPUT -m mark --mark 0x2000000/0x2000000 -j AS0_IN_PRE
-A INPUT -d 219.245.89.89/32 -p udp -m state --state NEW -m udp --dport 1194 -j AS0_ACCEPT
-A INPUT -d 219.245.89.89/32 -p tcp -m state --state NEW -m tcp --dport 443 -j AS0_ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j AS0_WEBACCEPT
-A INPUT -d 219.245.89.89/32 -p tcp -m state --state NEW -m tcp --dport 943 -j AS0_WEBACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j AS0_ACCEPT
-A FORWARD -m mark --mark 0x2000000/0x2000000 -j AS0_IN_PRE
-A FORWARD -o as0t+ -j AS0_OUT_S2C
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m mac --mac-source 00:16:D3:BA:FC:E6 -j ACCEPT
-A FORWARD -m mac --mac-source 20:6A:8A:43:BA:E3 -j ACCEPT
。。。省略MAC白名单
-A OUTPUT -o as0t+ -j AS0_OUT_LOCAL
-A AS0_ACCEPT -j ACCEPT
-A AS0_IN -d 5.5.0.1/32 -j ACCEPT
-A AS0_IN -d 192.168.0.0/24 -j ACCEPT
-A AS0_IN -j AS0_IN_POST
-A AS0_IN_POST -o as0t+ -j AS0_OUT
-A AS0_IN_POST -j DROP
-A AS0_IN_PRE -d 5.5.0.0/20 -j AS0_IN
-A AS0_IN_PRE -d 192.168.0.0/16 -j AS0_IN
-A AS0_IN_PRE -d 172.16.0.0/12 -j AS0_IN
-A AS0_IN_PRE -d 10.0.0.0/8 -j AS0_IN
-A AS0_IN_PRE -j ACCEPT
-A AS0_OUT -j DROP
-A AS0_OUT_LOCAL -p icmp -m icmp --icmp-type 5 -j DROP
-A AS0_OUT_LOCAL -j ACCEPT
-A AS0_OUT_S2C -j AS0_OUT
-A AS0_WEBACCEPT -j ACCEPT
COMMIT
# Completed on Wed Aug 22 16:11:05 2012

对iptables的分析：
1/清空iptables规则后vpn不能正常使用。
（补充,将规则导入文件:iptables-save > myiptables.txt  将文件中内容导入iptables：iptables-save < myiptables.txt）
2/关键分析nat表-A AS0_NAT -o eth0 -j SNAT --to-source 219.245.89.89
-A AS0_NAT -o eth1 -j SNAT --to-source 192.168.0.1

附图：服务器端抓包情况