форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[ Отслеживать ]

"Помогите настроить маршрутизацию"		+/–
Сообщение от Imex (ok) on 10-Окт-09, 18:32
Всем доброго времени суток! Стоит задача настроить маршрутизацию на Linux машине Схема сети такая:         ___          |   |Modem(Router) (192.168.1.1)        |___|          |     _____|______             |          ___|___ 192.168.1.2(eth1)         |       |         | Linux |         | шлюз  |         |_______|              |192.168.0.1 (eth0)              |              |    __________|_______________   |       |         |        | _|_     _|_       _|_      _|_   | 1 |   | 2 |     | 3 |    |xxx| |___|   |___|     |___|    |___|               Clients(192.168.0.*) Согласно ip route Все запросы с 1-ой подсети должны проходить через eth1, с 0-ой через eth0. Настраиваю маршрутизацию с помощью iptables. по-умолчанию всё разрешаю #iptables -P INPUT ACCEPT #iptables -P OUTPUT ACCEPT #iptables -P FORWARD ACCEPT # iptables -I INPUT 1 -i eth0 -j ACCEPT # iptables -I INPUT 1 -i lo -j ACCEPT # iptables -A INPUT -p UDP --dport bootps -i ! eth0 -j REJECT # iptables -A INPUT -p UDP --dport domain -i ! eth0 -j REJECT Правила для Нат: # iptables -I FORWARD -i eth0 -d 192.168.0.0/255.255.0.0 -j DROP # iptables -A FORWARD -i eth0 -s 192.168.0.0/255.255.0.0 -j ACCEPT # iptables -A FORWARD -i eth1 -d 192.168.0.0/255.255.0.0 -j ACCEPT # iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE Разрешаю форвардинг в ядре. Но когда я посылаю пакеты с виндовых машин на 192.168.1.1 пинги не доходят и судя по логам tracert'a они доходят до 192.168.0.1 а затем теряются. Подскажите тчо не так делаю??
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Помогите настроить маршрутизацию"		+/–
Сообщение от sonkilla (ok) on 10-Окт-09, 19:58
вы изначально строите неправельный порядок фаирвола прочитайте https://www.opennet.ru/docs/RUS/iptables/ и все станет ясно.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Помогите настроить маршрутизацию"		+/–
Сообщение от guest (??) on 11-Окт-09, 11:45
>[оверквотинг удален] >REJECT >Правила для Нат: ># iptables -I FORWARD -i eth0 -d 192.168.0.0/255.255.0.0 -j DROP ># iptables -A FORWARD -i eth0 -s 192.168.0.0/255.255.0.0 -j ACCEPT ># iptables -A FORWARD -i eth1 -d 192.168.0.0/255.255.0.0 -j ACCEPT ># iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE >Разрешаю форвардинг в ядре. Но когда я посылаю пакеты с виндовых машин >на 192.168.1.1 пинги не доходят и судя по логам tracert'a они >доходят до 192.168.0.1 а затем теряются. Подскажите тчо не так делаю?? > Первыми должны идти разрешающие правила!
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Помогите настроить маршрутизацию"		+/–
	Сообщение от ALex_hha (ok) on 11-Окт-09, 18:20
	>Первыми должны идти разрешающие правила! не всегда и не обязательно. Все зависит от задачи
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Помогите настроить маршрутизацию"		+/–
Сообщение от ALex_hha (ok) on 11-Окт-09, 18:31
>Разрешаю форвардинг в ядре. Но когда я посылаю пакеты с виндовых машин >на 192.168.1.1 пинги не доходят и судя по логам tracert'a они >доходят до 192.168.0.1 а затем теряются. Подскажите тчо не так делаю?? Вот этого правила должно быть достаточно # iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j SNAT --to-source 192.168.1.2 > Правила для Нат: > # iptables -I FORWARD -i eth0 -d 192.168.0.0/255.255.0.0 -j DROP > # iptables -A FORWARD -i eth0 -s 192.168.0.0/255.255.0.0 -j ACCEPT > # iptables -A FORWARD -i eth1 -d 192.168.0.0/255.255.0.0 -j ACCEPT это не НАТ явно, так как добавляешь их в таблицу filter, а с учетом, что у тебя политика по умолчанию ACCEPT, то их смысл вообще не понятен
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Помогите настроить маршрутизацию"		+/–
	Сообщение от Imex (ok) on 11-Окт-09, 19:06
	>> Правила для Нат: >> # iptables -I FORWARD -i eth0 -d 192.168.0.0/255.255.0.0 -j DROP >> # iptables -A FORWARD -i eth0 -s 192.168.0.0/255.255.0.0 -j ACCEPT >> # iptables -A FORWARD -i eth1 -d 192.168.0.0/255.255.0.0 -j ACCEPT > >это не НАТ явно, так как добавляешь их в таблицу filter, а >с учетом, что у тебя политика по умолчанию ACCEPT, то их >смысл вообще не понятен Прошу прощения, ошибся когда писал на форум, если оставить правило в таком виде, то в фильтер он не добавляет и просит написать куда именно добавить правило # iptables -t nat -I FORWARD -i eth0 -d 192.168.0.0/255.255.0.0 -j DROP
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Помогите настроить маршрутизацию"		+/–
	Сообщение от reader (ok) on 11-Окт-09, 21:54
	>[оверквотинг удален] >>> # iptables -A FORWARD -i eth1 -d 192.168.0.0/255.255.0.0 -j ACCEPT >> >>это не НАТ явно, так как добавляешь их в таблицу filter, а >>с учетом, что у тебя политика по умолчанию ACCEPT, то их >>смысл вообще не понятен > >Прошу прощения, ошибся когда писал на форум, если оставить правило в таком >виде, то в фильтер он не добавляет и просит написать куда >именно добавить правило ># iptables -t nat -I FORWARD -i eth0 -d 192.168.0.0/255.255.0.0 -j DROP как вы понимаете это правило и для каких целей вы его пишите? > показывайте ifconfig и iptables-save
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "Помогите настроить маршрутизацию"		+/–
	Сообщение от Imex (ok) on 14-Окт-09, 18:04
	>># iptables -t nat -I FORWARD -i eth0 -d 192.168.0.0/255.255.0.0 -j DROP > >как вы понимаете это правило и для каких целей вы его пишите? Вообще эти правила я взял из одного мануала, попробовал разобраться. Этим правилом запрещается перенаправление с eth0 и адресов 192.168.0.0? >показывайте ifconfig и iptables-save :INPUT ACCEPT [1594:149714] :FORWARD DROP [91:4688] :OUTPUT ACCEPT [44568:4174397] -A INPUT -i lo -j ACCEPT -A INPUT -i eth0 -j ACCEPT -A INPUT ! -i eth0 -p udp -m udp --dport 67 -j REJECT -A INPUT ! -i eth0 -p udp -m udp --dport 53 -j REJECT -A INPUT ! -i eth0 -p tcp -m tcp --dport 0:1023 -j DROP -A INPUT ! -i eth0 -p udp -m udp --dport 0:1023 -j DROP -A FORWARD -d 192.168.0.0/24 -i eth0 -j DROP -A FORWARD -s 192.168.0.0/24 -i eth0 -j ACCEPT -A FORWARD -d 192.168.0.0/24 -i eth1 -j ACCEPT >не может быть, по умолчанию правила добавляются в таблицу filter и там тоже есть цепочка >FORWARD. Так что правило должно было добавиться Без указания nat, пишет про необходимость установки аргумента -t (--target)(Примерно так, я точно не помню)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "Помогите настроить маршрутизацию"		+/–
	Сообщение от reader (ok) on 14-Окт-09, 20:38
	>>># iptables -t nat -I FORWARD -i eth0 -d 192.168.0.0/255.255.0.0 -j DROP что-то сомневаюсь, что из документации, ибо в таблице NAT нет FORWARD >[оверквотинг удален] >REJECT >-A INPUT ! -i eth0 -p udp -m udp --dport 53 -j >REJECT >-A INPUT ! -i eth0 -p tcp -m tcp --dport 0:1023 -j >DROP >-A INPUT ! -i eth0 -p udp -m udp --dport 0:1023 -j >DROP >-A FORWARD -d 192.168.0.0/24 -i eth0 -j DROP >-A FORWARD -s 192.168.0.0/24 -i eth0 -j ACCEPT >-A FORWARD -d 192.168.0.0/24 -i eth1 -j ACCEPT в этой хлипкой конструкции хождение за модем не блокируется. добавьте SNAT и можете и с таблицей фильтров экспериментировать. по поводу tracert, ping - это icmp протокол, а его вы не разрешили, поэтому и не проходит. >>не может быть, по умолчанию правила добавляются в таблицу filter и там тоже есть цепочка >FORWARD. Так что правило должно было добавиться > >Без указания nat, пишет про необходимость установки аргумента -t (--target)(Примерно так, я >точно не помню)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Помогите настроить маршрутизацию"		+/–
	Сообщение от ALex_hha (ok) on 12-Окт-09, 13:59
	>[оверквотинг удален] >>> # iptables -A FORWARD -i eth0 -s 192.168.0.0/255.255.0.0 -j ACCEPT >>> # iptables -A FORWARD -i eth1 -d 192.168.0.0/255.255.0.0 -j ACCEPT >> >>это не НАТ явно, так как добавляешь их в таблицу filter, а >>с учетом, что у тебя политика по умолчанию ACCEPT, то их >>смысл вообще не понятен > >Прошу прощения, ошибся когда писал на форум, если оставить правило в таком >виде, то в фильтер он не добавляет и просит написать куда >именно добавить правило не может быть, по умолчанию правила добавляются в таблицу filter и там тоже есть цепочка FORWARD. Так что правило должно было добавиться
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Помогите настроить маршрутизацию"		+/–
Сообщение от strike1984 on 17-Окт-09, 09:01
Получилось? если нет, то >Согласно ip route. Покажи route -n Все таки лучше ОС указать. Тогда и поглядим, на счет форвардинга, пакеты должны ходить не только из внутренней сети в инет, но и обратно. Разреши установившим соединение продолжать его. Не понимаю, pppoe соединение установлено на модеме? лучше так не извращаться, потому что не все программы работают за 2 НАТ. Если только в тестовых целях. При работе через модем, часто бывает из локалки не могут ходить в инет из-за mtu, при установке соединения рекомендую значение 1492(у меня всегда с этим значением(максимальное) работало на провайдерах) и также настрой mtu в iptables как авто, без конкретных значений. А если у тебя будет за 2 НАТ, то возможно значение mtu стоить уменьшить. Ну и про днс не забывай.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "Помогите настроить маршрутизацию"		+/–
	Сообщение от sonkilla (ok) on 17-Окт-09, 10:28
	полный бред...прочитайте тотуриал уже наконецтаки ссылка есть выше и в дагонку ESTABLISHED,RELATED пакеты уже немодно вставлять в правила чтоли?Конечно все когдато были зелеными и только начинали разбираться в системе но в мае время хоть слушаи советы что почитать и читали.Уверен на 100% что если бы вы прочитали хотябы официальное руководство а не брали неизвестно чьи готовые правила то вы бы сейчас незадавали подобных лупых вопросов.Насчет mtu strike1984 вы хоть знаете зачем он нужен?mtu всегда должен остоваться по умолчанию 1500 и только в случиях всевозможных тунелей должен быть уменьшен.Учите мат часть товарищи =)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "Помогите настроить маршрутизацию"		+/–
	Сообщение от ALex_hha (ok) on 19-Окт-09, 01:02
	>Насчет mtu strike1984 вы хоть знаете зачем он нужен?mtu всегда должен >остоваться по умолчанию 1500 и только в случиях всевозможных тунелей должен >быть уменьшен.Учите мат часть товарищи =) очень спорное утверждение, 1500 рекомендуемое значение для Ethernet, но ведь это не единственная технология ;)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	13. "Помогите настроить маршрутизацию"		+/–
	Сообщение от sonkilla (ok) on 19-Окт-09, 08:47
	>>Насчет mtu strike1984 вы хоть знаете зачем он нужен?mtu всегда должен >>остоваться по умолчанию 1500 и только в случиях всевозможных тунелей должен >>быть уменьшен.Учите мат часть товарищи =) > >очень спорное утверждение, 1500 рекомендуемое значение для Ethernet, но ведь это не >единственная технология ;) тоже верно но я недумаю что кто то из них работал с другими технологиями))))))))))
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	14. "Помогите настроить маршрутизацию"		+/–
	Сообщение от strike1984 on 21-Окт-09, 10:14
	>полный бред...прочитайте тотуриал уже наконецтаки ссылка есть выше >и в дагонку ESTABLISHED,RELATED пакеты уже немодно вставлять в правила чтоли?Конечно все >когдато были зелеными и только начинали разбираться в системе но в >мае время хоть слушаи советы что почитать и читали.Уверен на 100% >что если бы вы прочитали хотябы официальное руководство а не брали >неизвестно чьи готовые правила то вы бы сейчас незадавали подобных лупых >вопросов.Насчет mtu strike1984 вы хоть знаете зачем он нужен?mtu всегда должен >остоваться по умолчанию 1500 и только в случиях всевозможных тунелей должен >быть уменьшен.Учите мат часть товарищи =) Добрый день, sonkilla. Покажите мне где вы бред увидели. Вы может меня с автором частично путаете. На счет mtu - я не виноват, что у вас никого опыта нет. Я таких уже несколько провайдеров перевидал. Начал было сразу писать вам теоретику гневный ответ, но думаю, мало ли может я ошибаюсь, давно не настраивал сервера с pppoe с ошибкой mtu. И вот как на духу после вашего сообщения пришлось установить сервер, где интернет приходит через ADSL модем(pppoe mtu 1400 поднимал на сервере), значение mtu рекомендуемое провайдером 1400. К сожалению, >>также настрой mtu в iptables как авто, без конкретных значений (мое сообщение выше) не помогло даже с конкретными значениями. Из локалки инет шел, но не на все сайты и сервера, задачу эту я решил. Тогда с вас ответ, в чем могла быть причина? Посмотрим как вы знаете mtu. >тоже верно но я недумаю что кто то из них работал с другими технологиями)))))))))) работали еще как, есть технологии в разы хуже, например, инет через vpn-соединение, но шлюзов у провайдера десятки, фактически инет дает один шлюз, шлюзы у провайдера постоянно меняются. Плюс ошибка mtu. Вот намного интереснее проблема, это был мой первый опыт - жесть, из-за доменной авторизации у провайдера, а сервера провайдера скорее всего на dhcp. ИМХО нужно быть добрее: коллега здесь вы не правы. Автору: >Все запросы с 1-ой подсети должны проходить через eth1, с 0-ой через eth0 коли назвал модем (Router), то запросы должны ходить ходить в модем, а не в сетевуху. Почему-то этого никто не углядел. Удачи автору, я тоже это в свое время проходил.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема