forum.opennet.ru - "Помогите с Route+ iptables" (9)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Помогите с Route+ iptables"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Помогите с Route+ iptables"
Сообщение от Yarik on 12-Май-03, 08:04 (MSK)
Я наверное чего то непонимаю, Iptables это фильтр пакетов, он обрабатывает пакеты уже после маршрутизации ведь так ? Так вот если я все правильно понимаю тогда у меня не работает маршрутизация Имхо ситуейшн стандартный /внутр сеть\192.168.0.1------eth0/router\ppp0-----ppp/inet так вот пишу route add -host "айпи прова" eth0 route add default gw "айпи прова" Вот вроде и вся маршрутизация но есть пару вопросов, на тачке во внутренней сети какое шлюз ставить ? eth0 или который писал в default gw ? а ? и почему может неработать ? подскажите плиз где грабли, я хоть сена подстелю :)
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

Помогите с Route+ iptables, iiws, 09:16 , 12-Май-03, (1)
- Помогите с Route+ iptables, Yarik, 13:25 , 12-Май-03, (2)
  - Помогите с Route+ iptables, iiws, 14:30 , 12-Май-03, (3)
  - Помогите с Route+ iptables, Yarik, 15:35 , 13-Май-03, (4)
    - Помогите с Route+ iptables, Mikhail, 15:41 , 13-Май-03, (5)
      - Помогите с Route+ iptables, Mikhail, 15:46 , 13-Май-03, (6)
      - Помогите с Route+ iptables, Yarik, 09:29 , 14-Май-03, (7)
        
        Помогите с Route+ iptables, Mikhail, 11:03 , 14-Май-03, (8)
        
        Помогите с Route+ iptables, Yarik, 12:34 , 16-Май-03, (9)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Помогите с Route+ iptables"

Сообщение от iiws on 12-Май-03, 09:16  (MSK)

>Я наверное чего то непонимаю,
>Iptables это фильтр пакетов, он обрабатывает пакеты уже после маршрутизации ведь так
>?
>Так вот если я все правильно понимаю тогда у меня не работает
>маршрутизация Имхо
>ситуейшн стандартный
>/внутр сеть\192.168.0.1------eth0/router\ppp0-----ppp/inet
>так вот
>пишу route add -host "айпи прова" eth0
>     route add default gw "айпи прова"
>Вот вроде и вся маршрутизация
>
>но есть пару вопросов, на тачке во внутренней сети какое шлюз ставить
>?
>eth0 или который писал в default gw ? а ?
>
>и почему может неработать ?
>
>подскажите плиз где грабли, я хоть сена подстелю :)
пров должен выдать тебе свой ip и свой линковочный, если это просто диалап, то сам посомтри, ip который тебе выдает пров по команде
ifconfig  , иы должен увидеть что-то типа этого
ppp0 Link encap:Point-to-Point Protocol
inet addr:123.23.34.5 P-t-P:123.23.34.6 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:93036 errors:20 dropped:0 overruns:0 frame:0
TX packets:101168 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
так вот в данном случае ты должен выдать:
route add default gw 123.23.34.5 dev ppp0 # устанавливает шлюз по умолчанию
на тачке в локальной сети шлюз ставишь локал ip твоего сервака, то бишь 192.168.0.1
смотришь таблицу маршрут-ции после всех манипуляций должен видеть что-то типа  этого
123.23.34.5 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
192.168.0.0 0.0.0.0 255.255.255.0 UG 0 0 0 eth0
0.0.0.0 123.23.34.5 0.0.0.0 UG 0 0 0 ppp0
проверяешь пинг и
в конечном итого в товем rc.local должно быть подобие такого скрипта
route add default gw 123.23.34.5 dev ppp0 # устанавливает шлюз по умолч
modprobe ip_tables #
modprobe ip_conntrack #
modprobe ip_conntrack_ftp # Подгружаем необходимые модули
modprobe ip_conntrack_irc #
modprobe iptable_nat #
modprobe ip_nat_ftp #
modprobe ip_nat_irc #
iptables -F; iptables -t nat -F; iptables -t mangle -F # Очищаем правила
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j SNAT --to-source 123.23.34.5 # Организуем NAT
echo "1" > /proc/sys/net/ipv4/ip_forward # Включаем пересылку пакетов в ядре

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Помогите с Route+ iptables"

Сообщение от Yarik on 12-Май-03, 13:25  (MSK)

Спасибо огромное пойдц проверю, вероятно я не так все делал :(
я использовал для iptables
rc.Firewall.txt
rc.DHCP.Firewall.txt
еще пробовал rc.firewall_023.txt
Но там про нат тихо, прочеk HOwto-Iptables там мужик клялся божился что заработют такие правила, а как я понял это лиш настройки политики безопасности., чисто хождение пакетов по цепочкам но не маскарадинга....
я правильно понял ?

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Помогите с Route+ iptables"

Сообщение от iiws on 12-Май-03, 14:30  (MSK)

>Спасибо огромное пойдц проверю, вероятно я не так все делал :(
>я использовал для iptables
>rc.Firewall.txt
>rc.DHCP.Firewall.txt
>еще пробовал rc.firewall_023.txt
>
>Но там про нат тихо, прочеk HOwto-Iptables там мужик клялся божился что
>заработют такие правила, а как я понял это лиш настройки политики
>безопасности., чисто хождение пакетов по цепочкам но не маскарадинга....
>
>я правильно понял ?
у тебя была ошибка в маршрутизации, не тот gw ставил на ppp
и ты правильно понимаешь что Iptables это фильтр пакетов и чтобы он нормално работал сперва должен быть отстроен роутинг.

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Помогите с Route+ iptables"

Сообщение от Yarik on 13-Май-03, 15:35  (MSK)

я сделал все что ты сказал, но не заработало, я подозреваю что опять чтото
не то в маршрутизации, т.к. когда ppp0 поднимаю, адрес смотрю в ifconfig  все прописываю,
по адресу, в данный момент был мне пров дал 213.59.219.97 Это ентри97
Но с виндовой машины пингуется только этот 97 айпишинк дальше пинг не идет !
и трасерт естественно тоже ... что делать ?
блин, я уже запутался неужели все так сложно то ?

[root@smb rc.d]# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
entry97.sochi.r *               255.255.255.255 UH    0      0        0 eth0
cisco5300-vosme *               255.255.255.255 UH    0      0        0 ppp0
192.168.0.0     *               255.255.255.0   U     0      0        0 eth0
169.254.0.0     *               255.255.0.0     U     0      0        0 eth0
127.0.0.0       *               255.0.0.0       U     0      0        0 lo
default         entry97.sochi.r 0.0.0.0         UG    0      0        0 ppp0 default         cisco5300-vosme 0.0.0.0         UG    0      0        0 ppp0

[root@smb rc.d]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
[root@smb rc.d]#

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Помогите с Route+ iptables"

Сообщение от Mikhail on 13-Май-03, 15:41  (MSK)

> -j SNAT --to-source 123.23.34.5 # Организуем NAT
man iptables
- для динамических адресов - MASQUERADE
    This  target  is  only  valid  in  the  nat  table, in the
    POSTROUTING chain.  It should only be  used  with  dynami-
    cally  assigned  IP  (dialup)  connections:  if you have a
    static IP address, you should use the SNAT  target.

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Помогите с Route+ iptables"

Сообщение от Mikhail on 13-Май-03, 15:46  (MSK)

Да, еще... Вроде бы pppd умел сам устанавливать/сшибать default gateway. Была у него такая опция, неплохо работала.

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Помогите с Route+ iptables"

Сообщение от Yarik on 14-Май-03, 09:29  (MSK)

>> -j SNAT --to-source 123.23.34.5 # Организуем NAT
>man iptables
>- для динамических адресов - MASQUERADE
>    This  target  is  only
>valid  in  the  nat  table, in the
>
>    POSTROUTING chain.  It should only be
>used  with  dynami-
>    cally  assigned  IP  (dialup)
>connections:  if you have a
>    static IP address, you should use the SNAT
> target.
на сктолько я понял надо в скрипте поменять SNAT на MASQUARADE угу,
он же на построутинг работает ? прально ?
или я обшибаюсь опять ?

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Помогите с Route+ iptables"

Сообщение от Mikhail on 14-Май-03, 11:03  (MSK)

man iptables - если firewall настроен криво, неправильно etc. - его все равно что нет. Тут стОит понимать, что и зачем. Поищи (например, на этом же сайте) - документации море, часто с примерами. Готового универсального решения нет.
Насчет роутинга - если сеть настроена правильно, обычно ничего не нужно вручную добавлять (route add...), кроме спец. случаев. PPP к ним не относится, он сам умеет временно (пока поднят линк) менять gateway (опция defaultroute).

Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "Помогите с Route+ iptables"

Сообщение от Yarik on 16-Май-03, 12:34  (MSK)

Спасибо всем за поддержку
еще один вопросец, если роутинг просто поднять без IPTABLES Это работоспособно ? я понимаю что это небезопасно, но если после указания шлюза попрежнему нет выхода наружу, то дело а маршрутизации или дело в отсутствии правил хождения пакетов ?

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Помогите с Route+ iptables"
Сообщение от iiws on 12-Май-03, 09:16 (MSK)
>Я наверное чего то непонимаю, >Iptables это фильтр пакетов, он обрабатывает пакеты уже после маршрутизации ведь так >? >Так вот если я все правильно понимаю тогда у меня не работает >маршрутизация Имхо >ситуейшн стандартный >/внутр сеть\192.168.0.1------eth0/router\ppp0-----ppp/inet >так вот >пишу route add -host "айпи прова" eth0 > route add default gw "айпи прова" >Вот вроде и вся маршрутизация > >но есть пару вопросов, на тачке во внутренней сети какое шлюз ставить >? >eth0 или который писал в default gw ? а ? > >и почему может неработать ? > >подскажите плиз где грабли, я хоть сена подстелю :) пров должен выдать тебе свой ip и свой линковочный, если это просто диалап, то сам посомтри, ip который тебе выдает пров по команде ifconfig , иы должен увидеть что-то типа этого ppp0 Link encap:Point-to-Point Protocol inet addr:123.23.34.5 P-t-P:123.23.34.6 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:93036 errors:20 dropped:0 overruns:0 frame:0 TX packets:101168 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:3 так вот в данном случае ты должен выдать: route add default gw 123.23.34.5 dev ppp0 # устанавливает шлюз по умолчанию на тачке в локальной сети шлюз ставишь локал ip твоего сервака, то бишь 192.168.0.1 смотришь таблицу маршрут-ции после всех манипуляций должен видеть что-то типа этого 123.23.34.5 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0 192.168.0.0 0.0.0.0 255.255.255.0 UG 0 0 0 eth0 0.0.0.0 123.23.34.5 0.0.0.0 UG 0 0 0 ppp0 проверяешь пинг и в конечном итого в товем rc.local должно быть подобие такого скрипта route add default gw 123.23.34.5 dev ppp0 # устанавливает шлюз по умолч modprobe ip_tables # modprobe ip_conntrack # modprobe ip_conntrack_ftp # Подгружаем необходимые модули modprobe ip_conntrack_irc # modprobe iptable_nat # modprobe ip_nat_ftp # modprobe ip_nat_irc # iptables -F; iptables -t nat -F; iptables -t mangle -F # Очищаем правила iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j SNAT --to-source 123.23.34.5 # Организуем NAT echo "1" > /proc/sys/net/ipv4/ip_forward # Включаем пересылку пакетов в ядре
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "Помогите с Route+ iptables"
	Сообщение от Yarik on 12-Май-03, 13:25 (MSK)
	Спасибо огромное пойдц проверю, вероятно я не так все делал :( я использовал для iptables rc.Firewall.txt rc.DHCP.Firewall.txt еще пробовал rc.firewall_023.txt Но там про нат тихо, прочеk HOwto-Iptables там мужик клялся божился что заработют такие правила, а как я понял это лиш настройки политики безопасности., чисто хождение пакетов по цепочкам но не маскарадинга.... я правильно понял ?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "Помогите с Route+ iptables"
	Сообщение от iiws on 12-Май-03, 14:30 (MSK)
	>Спасибо огромное пойдц проверю, вероятно я не так все делал :( >я использовал для iptables >rc.Firewall.txt >rc.DHCP.Firewall.txt >еще пробовал rc.firewall_023.txt > >Но там про нат тихо, прочеk HOwto-Iptables там мужик клялся божился что >заработют такие правила, а как я понял это лиш настройки политики >безопасности., чисто хождение пакетов по цепочкам но не маскарадинга.... > >я правильно понял ? у тебя была ошибка в маршрутизации, не тот gw ставил на ppp и ты правильно понимаешь что Iptables это фильтр пакетов и чтобы он нормално работал сперва должен быть отстроен роутинг.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "Помогите с Route+ iptables"
	Сообщение от Yarik on 13-Май-03, 15:35 (MSK)
	я сделал все что ты сказал, но не заработало, я подозреваю что опять чтото не то в маршрутизации, т.к. когда ppp0 поднимаю, адрес смотрю в ifconfig все прописываю, по адресу, в данный момент был мне пров дал 213.59.219.97 Это ентри97 Но с виндовой машины пингуется только этот 97 айпишинк дальше пинг не идет ! и трасерт естественно тоже ... что делать ? блин, я уже запутался неужели все так сложно то ? [root@smb rc.d]# route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface entry97.sochi.r * 255.255.255.255 UH 0 0 0 eth0 cisco5300-vosme * 255.255.255.255 UH 0 0 0 ppp0 192.168.0.0 * 255.255.255.0 U 0 0 0 eth0 169.254.0.0 * 255.255.0.0 U 0 0 0 eth0 127.0.0.0 * 255.0.0.0 U 0 0 0 lo default entry97.sochi.r 0.0.0.0 UG 0 0 0 ppp0 default cisco5300-vosme 0.0.0.0 UG 0 0 0 ppp0 [root@smb rc.d]# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination [root@smb rc.d]#
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "Помогите с Route+ iptables"
	Сообщение от Mikhail on 13-Май-03, 15:41 (MSK)
	> -j SNAT --to-source 123.23.34.5 # Организуем NAT man iptables - для динамических адресов - MASQUERADE This target is only valid in the nat table, in the POSTROUTING chain. It should only be used with dynami- cally assigned IP (dialup) connections: if you have a static IP address, you should use the SNAT target.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "Помогите с Route+ iptables"
	Сообщение от Mikhail on 13-Май-03, 15:46 (MSK)
	Да, еще... Вроде бы pppd умел сам устанавливать/сшибать default gateway. Была у него такая опция, неплохо работала.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "Помогите с Route+ iptables"
	Сообщение от Yarik on 14-Май-03, 09:29 (MSK)
	>> -j SNAT --to-source 123.23.34.5 # Организуем NAT >man iptables >- для динамических адресов - MASQUERADE > This target is only >valid in the nat table, in the > > POSTROUTING chain. It should only be >used with dynami- > cally assigned IP (dialup) >connections: if you have a > static IP address, you should use the SNAT > target. на сктолько я понял надо в скрипте поменять SNAT на MASQUARADE угу, он же на построутинг работает ? прально ? или я обшибаюсь опять ?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "Помогите с Route+ iptables"
	Сообщение от Mikhail on 14-Май-03, 11:03 (MSK)
	man iptables - если firewall настроен криво, неправильно etc. - его все равно что нет. Тут стОит понимать, что и зачем. Поищи (например, на этом же сайте) - документации море, часто с примерами. Готового универсального решения нет. Насчет роутинга - если сеть настроена правильно, обычно ничего не нужно вручную добавлять (route add...), кроме спец. случаев. PPP к ним не относится, он сам умеет временно (пока поднят линк) менять gateway (опция defaultroute).
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "Помогите с Route+ iptables"
	Сообщение от Yarik on 16-Май-03, 12:34 (MSK)
	Спасибо всем за поддержку еще один вопросец, если роутинг просто поднять без IPTABLES Это работоспособно ? я понимаю что это небезопасно, но если после указания шлюза попрежнему нет выхода наружу, то дело а маршрутизации или дело в отсутствии правил хождения пакетов ?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх