Forum Debian Users Gang

debbie · 2011-01-31 07:55:19

Witam!

Mam taki problem odnośnie iptables:

mam w systemie następujące sieciówki:

eth1: 192.168.12.241 255.255.255.0

eth2: 77.22.78.19 255.255.255.248

eth3: 192.168.1.1

i teraz tak - za pomocą eth1 mam dostęp do neta!
( nie patrzcie narazie na adres z sieciówki eth2 bo jest to adres potrzebny do rozwiązania problemu
ale nie jest to adres który mi dał dostawca - na internet wychodzę dzięki eth1 )

A za pomocą eth3 łacze się z podsiecią 192.168.1.0/24
( na stacjach roboczych mam ustawione bramy na 192.168.1.1 DNS'y itd)

w skrypcie dodaje regułe:

iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.0/24 -j SNAT --to 192.168.12.241

dzięki temu kompy z podsieci 192.168.1.0/24 mają internet. ( oczywiście w skrypcie już wyżej jest
echo "1" > /proc/sys/net/ipv4/ip_forward także wszystko działa bez najmniejszego problemu )

I teraz tak - czy jest możliwość przekierowania tak aby interfejs eth2 był widoczny przez te kompy jako
adres zewnętrzny?? Tzn myślałem że można będzie tylko zrobić nat:

iptables -t nat -A POSTROUTING -o eth1 -s 77.22.78.19 -j SNAT --to 192.168.12.241

i następnie

iptables -t nat -A POSTROUTING -o eth1 -s 192.168.1.0/24 -j SNAT --to 77.22.78.19

czyli - normalnie eth1 "jest internetem" a czy da rade zrobić tak aby eth2 "był internetem" dzięki eth1
i przez eth2 wypuszczać podsieć 192.168.1.0/24 na internet??
Był bym wdzięczny za podpowiedź!

debbie · 2011-01-31 12:36:40

Jest wogóle taka opcja??

kamikaze · 2011-01-31 13:01:01

Jeśli chcesz jeszcze coś dopisać do swojego posta używaj opcji edycji.

Jacekalex · 2011-01-31 13:51:21

Opcja jest albo w iptables, albo w route, sporo dodaje xtables-addons.

Byle z umiarem, za dużo nie kombinować.
Poza tym:

czyli - normalnie eth1 "jest internetem" a czy da rade zrobić tak aby eth2 "był internetem" dzięki eth1
i przez eth2 wypuszczać podsieć 192.168.1.0/24 na internet??

Na moje oko maskarada na eth2, lub obejmująca podsieć 192.168.1.1, i POSTROUTING -j SNAT, i powinno działać.
Właściwie w ogóle nie rozumiem, gdzie tkwi problem, przecież masz 3 karty, jedna to internet, na 2 udostępniasz dalej, tak to normalnie działa, do tego miejsca wszystko jest logiczne.

Co do eth2, które dzięki eth1, to o tyle dziwne, że w tej chwili eth2 ma publiczny adres IP, dzięki któremu działa całość.

Więc jakikolwiek routing między interfejsami eth1 i eth3 - łączy tylko sieci, które te interfejsy obsługują.
Wiec w czy tkwi problem?
pokaż może wyniki:

Kod:

iptables -S
iptables -t nat -S
iptables -t mangle -S

Wtedy przynajmniej będzie jasne, czego brakuje w ustawieniach.
Co bynajmniej nie oznacza, że istnieje prosta odpowiedź, bo pytanie wydaje się być nieźle zakręcone.

Poza tym używaj znaczników CODE, bo twój post się strasznie ciężko czyta.

Pozdrawiam
;-)

Ostatnio edytowany przez Jacekalex (2011-01-31 13:52:31)

debbie · 2011-01-31 15:45:02

no to tak:

Kod:

iptables -S


-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT

Kod:

iptables -t nat -S

-P PREROUTING ACCEPT
-P OUTPUT ACCEPT
-P POSTROUTING ACCEPT
-A POSTROUTING -s 192.168.1.0/24 -o eth1 -j SNAT --to-source 192.168.12.241

Kod:

iptables -t mangle -S

-P PREROUTING ACCEPT
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-P POSTROUTING ACCEPT

I teraz tak - żebyśmy się dobrze zrozumieli to eth2 ma adres 77.22.78.19
ale jest to wybrany adres na potrzeby rozwiązania problemu. Nie ma wyjścia na internet
za pomocą niego. Wyjście jest za pomocą eth1.
Tylko chciałem zrobić tak aby komputery w sieci używały adresu z eth2 jako ( niby zewnętrznego )

Jak widać aktualny konfig daje mi możliwość wyjścia na internet przez eth1 i to gra.
Ale chciałem aby hosty ze 192.168.1.0 wychodziły przez 77.22.78.19 ( a reszta to wiadomo - chyba przekierowanie ruchu
z eth2 na eth1 i internet )

Generalnie to myślałem o czymś takim - aby eth2 uzyskało internet za pomocą eth1
i później zrobić coś w stylu podobnym jak mam teraz czyli:

Kod:

iptables -t nat -A POSTROUTING -o eth2 -s 192.168.1.0/24 -j SNAT --to 77.22.78.19

ale niewiem czy dobrze myślę?

Ostatnio edytowany przez debbie (2011-01-31 15:52:34)

bobycob · 2011-02-06 13:09:51

eth2 nie "uzyskuje neta" za pomocą eth1 bo są tylko interfejsami

Patrzysz od strony interfejsów co jest błędem patrz na pakiet,a ten ma adres źródłowy i docelowy. Jeżeli potrzebujesz pakietowi o adresie źródłowym 192.168.x.x podmienić adres na 77.x.x.x to wykonujesz SNAT i po krzyku. Równie dobrze możesz ten adres ip 77.x.x.x przypisać do eth1, eth2 lub eth0 bez znaczenia - możesz zaszaleć i przypisać nawet do lo.
Oczywiście aby nat działał (mam na myśli poprawną komunikację) pakiety kierowane na 77.22.78.19/29 muszą być routowane przez 192.168.12.241 - ale to już po stronie dostawcy.
Inną rzeczą jest, że możesz przypisać adresację 77.x.x.x do eth2 i przydzielać określone adresy ip publiczne bezpośrednio o ile ich starczy masz ich niewiele ;).

Natomiast to którym interfejsem pakiet zostanie wysłany zależy od adresy docelowego - a nie źródłowego. Jeśli trasa dla celu idzie przez bramę domyślną a ta jest osiągalna przez eth1 to wyjdzie przez eth1.

Ostatnio edytowany przez bobycob (2011-02-06 13:17:46)

Forum Debian Users Gang

Ogłoszenie

#1 2011-01-31 07:55:19

debbie - Użytkownik

iptables + router + 3 sieciówki i przekierowanie

#2 2011-01-31 12:36:40

debbie - Użytkownik

Re: iptables + router + 3 sieciówki i przekierowanie

#3 2011-01-31 13:01:01

kamikaze - Administrator

Re: iptables + router + 3 sieciówki i przekierowanie

#4 2011-01-31 13:51:21

Jacekalex - Podobno człowiek...;)

Re: iptables + router + 3 sieciówki i przekierowanie

Kod:

#5 2011-01-31 15:45:02

debbie - Użytkownik

Re: iptables + router + 3 sieciówki i przekierowanie

Kod:

Kod:

Kod:

Kod:

#6 2011-02-06 13:09:51

bobycob - Członek z Ramienia

Re: iptables + router + 3 sieciówki i przekierowanie

Stopka forum