The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Помогите с Route+ iptables"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"Помогите с Route+ iptables"
Сообщение от Yarik emailИскать по авторуВ закладки on 12-Май-03, 08:04  (MSK)
Я наверное чего то непонимаю,
Iptables это фильтр пакетов, он обрабатывает пакеты уже после маршрутизации ведь так ?
Так вот если я все правильно понимаю тогда у меня не работает маршрутизация Имхо
ситуейшн стандартный
/внутр сеть\192.168.0.1------eth0/router\ppp0-----ppp/inet
так вот
пишу route add -host "айпи прова" eth0
     route add default gw "айпи прова"
Вот вроде и вся маршрутизация

но есть пару вопросов, на тачке во внутренней сети какое шлюз ставить ?
eth0 или который писал в default gw ? а ?

и почему может неработать ?

подскажите плиз где грабли, я хоть сена подстелю :)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "Помогите с Route+ iptables"
Сообщение от iiws emailИскать по авторуВ закладки on 12-Май-03, 09:16  (MSK)
>Я наверное чего то непонимаю,
>Iptables это фильтр пакетов, он обрабатывает пакеты уже после маршрутизации ведь так
>?
>Так вот если я все правильно понимаю тогда у меня не работает
>маршрутизация Имхо
>ситуейшн стандартный
>/внутр сеть\192.168.0.1------eth0/router\ppp0-----ppp/inet
>так вот
>пишу route add -host "айпи прова" eth0
>     route add default gw "айпи прова"
>Вот вроде и вся маршрутизация
>
>но есть пару вопросов, на тачке во внутренней сети какое шлюз ставить
>?
>eth0 или который писал в default gw ? а ?
>
>и почему может неработать ?
>
>подскажите плиз где грабли, я хоть сена подстелю :)

пров должен выдать тебе свой ip и свой линковочный, если это просто диалап, то сам посомтри, ip который тебе выдает пров по команде
ifconfig  , иы должен увидеть что-то типа этого
ppp0 Link encap:Point-to-Point Protocol
inet addr:123.23.34.5 P-t-P:123.23.34.6 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:93036 errors:20 dropped:0 overruns:0 frame:0
TX packets:101168 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
так вот в данном случае ты должен выдать:
route add default gw 123.23.34.5 dev ppp0 # устанавливает шлюз по умолчанию  
на тачке в локальной сети шлюз ставишь локал ip твоего сервака, то бишь 192.168.0.1
смотришь таблицу маршрут-ции после всех манипуляций должен видеть что-то типа  этого
123.23.34.5 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
192.168.0.0 0.0.0.0 255.255.255.0 UG 0 0 0 eth0
0.0.0.0 123.23.34.5 0.0.0.0 UG 0 0 0 ppp0

проверяешь пинг и
в конечном итого в товем rc.local должно быть подобие такого скрипта

route add default gw 123.23.34.5 dev ppp0 # устанавливает шлюз по умолч
modprobe ip_tables #
modprobe ip_conntrack #
modprobe ip_conntrack_ftp # Подгружаем необходимые модули
modprobe ip_conntrack_irc #
modprobe iptable_nat #
modprobe ip_nat_ftp #
modprobe ip_nat_irc #
iptables -F; iptables -t nat -F; iptables -t mangle -F # Очищаем правила
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j SNAT --to-source 123.23.34.5 # Организуем NAT
echo "1" > /proc/sys/net/ipv4/ip_forward # Включаем пересылку пакетов в ядре

  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Помогите с Route+ iptables"
Сообщение от Yarik emailИскать по авторуВ закладки on 12-Май-03, 13:25  (MSK)
Спасибо огромное пойдц проверю, вероятно я не так все делал :(
я использовал для iptables
rc.Firewall.txt
rc.DHCP.Firewall.txt
еще пробовал rc.firewall_023.txt

Но там про нат тихо, прочеk HOwto-Iptables там мужик клялся божился что заработют такие правила, а как я понял это лиш настройки политики безопасности., чисто хождение пакетов по цепочкам но не маскарадинга....

я правильно понял ?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Помогите с Route+ iptables"
Сообщение от iiws emailИскать по авторуВ закладки on 12-Май-03, 14:30  (MSK)
>Спасибо огромное пойдц проверю, вероятно я не так все делал :(
>я использовал для iptables
>rc.Firewall.txt
>rc.DHCP.Firewall.txt
>еще пробовал rc.firewall_023.txt
>
>Но там про нат тихо, прочеk HOwto-Iptables там мужик клялся божился что
>заработют такие правила, а как я понял это лиш настройки политики
>безопасности., чисто хождение пакетов по цепочкам но не маскарадинга....
>
>я правильно понял ?

у тебя была ошибка в маршрутизации, не тот gw ставил на ppp
и ты правильно понимаешь что Iptables это фильтр пакетов и чтобы он нормално работал сперва должен быть отстроен роутинг.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Помогите с Route+ iptables"
Сообщение от Yarik emailИскать по авторуВ закладки on 13-Май-03, 15:35  (MSK)
я сделал все что ты сказал, но не заработало, я подозреваю что опять чтото
не то в маршрутизации, т.к. когда ppp0 поднимаю, адрес смотрю в ifconfig  все прописываю,
по адресу, в данный момент был мне пров дал 213.59.219.97 Это ентри97
Но с виндовой машины пингуется только этот 97 айпишинк дальше пинг не идет !
и трасерт естественно тоже ... что делать ?
блин, я уже запутался неужели все так сложно то ?


[root@smb rc.d]# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
entry97.sochi.r *               255.255.255.255 UH    0      0        0 eth0
cisco5300-vosme *               255.255.255.255 UH    0      0        0 ppp0
192.168.0.0     *               255.255.255.0   U     0      0        0 eth0
169.254.0.0     *               255.255.0.0     U     0      0        0 eth0
127.0.0.0       *               255.0.0.0       U     0      0        0 lo
default         entry97.sochi.r 0.0.0.0         UG    0      0        0 ppp0 default         cisco5300-vosme 0.0.0.0         UG    0      0        0 ppp0

[root@smb rc.d]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
[root@smb rc.d]#

  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Помогите с Route+ iptables"
Сообщение от Mikhail Искать по авторуВ закладки on 13-Май-03, 15:41  (MSK)
> -j SNAT --to-source 123.23.34.5 # Организуем NAT
man iptables
- для динамических адресов - MASQUERADE                                                    
    This  target  is  only  valid  in  the  nat  table, in the
    POSTROUTING chain.  It should only be  used  with  dynami-
    cally  assigned  IP  (dialup)  connections:  if you have a
    static IP address, you should use the SNAT  target.
  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Помогите с Route+ iptables"
Сообщение от Mikhail Искать по авторуВ закладки on 13-Май-03, 15:46  (MSK)
Да, еще... Вроде бы pppd умел сам устанавливать/сшибать default gateway. Была у него такая опция, неплохо работала.
  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Помогите с Route+ iptables"
Сообщение от Yarik emailИскать по авторуВ закладки on 14-Май-03, 09:29  (MSK)
>> -j SNAT --to-source 123.23.34.5 # Организуем NAT
>man iptables
>- для динамических адресов - MASQUERADE
>    This  target  is  only  
>valid  in  the  nat  table, in the
>
>    POSTROUTING chain.  It should only be  
>used  with  dynami-
>    cally  assigned  IP  (dialup)  
>connections:  if you have a
>    static IP address, you should use the SNAT
> target.

на сктолько я понял надо в скрипте поменять SNAT на MASQUARADE угу,
он же на построутинг работает ? прально ?
или я обшибаюсь опять ?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Помогите с Route+ iptables"
Сообщение от Mikhail Искать по авторуВ закладки on 14-Май-03, 11:03  (MSK)
man iptables - если firewall настроен криво, неправильно etc. - его все равно что нет. Тут стОит понимать, что и зачем. Поищи (например, на этом же сайте) - документации море, часто с примерами. Готового универсального решения нет.
Насчет роутинга - если сеть настроена правильно, обычно ничего не нужно вручную добавлять (route add...), кроме спец. случаев. PPP к ним не относится, он сам умеет временно (пока поднят линк) менять gateway (опция defaultroute).
  Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "Помогите с Route+ iptables"
Сообщение от Yarik emailИскать по авторуВ закладки on 16-Май-03, 12:34  (MSK)
Спасибо всем за поддержку
еще один вопросец, если роутинг просто поднять без IPTABLES Это работоспособно ? я понимаю что это небезопасно, но если после указания шлюза попрежнему нет выхода наружу, то дело а маршрутизации или дело в отсутствии правил хождения пакетов ?


  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру