Forum Debian Users Gang

kudzik · 2005-10-31 12:29:58

Witam.

Problem jest typu server z Debianem do którego podłączone są 3 karty sieciowe jedna karta - intrnet (etho), do dwóch pozostałych(eth1,eth2) podpięte są kompy

Kod:


                          +------+
                          |      |
                          |  1   |
                          |      |
                          |      |
                          +------+
                             |
                             |10.0.0.3
                             |
          +-----+            |
          |     | 10.0.0.1   |
          |  s  |---eth1-----+
--eth0----|     |
          |     |---eth2-----+
          +-----+ 10.0.0.2   |
                             |
                             |
                             |10.0.0.4
                             |
                          +------+
                          |      |
                          |  2   |
                          |      |
                          |      |
                          +------+

Przypisałem adresy do kart w serwerze
/etc/network/interface

Kod:


auto eth0
iface eth0 inet dhcp
#komp1
auto eth1
iface eth1 inet static
address 10.0.0.1
netmask 255.255.255.0
#komp2
auto eth2
iface eth2 inet static
address 10.0.0.2

adresy do sieciówek w komputerach przypisywane przez DHCP

/etc/dhcpd.conf

Kod:

subnet 10.2.7.1 netmask 255.255.255.0 {
}
subnet 10.0.0.0 netmask 255.255.255.0 {
range 10.0.0.3 10.0.0.6;
# option name-servers bb.home.vix.com, gw.home.vix.com;
  option domain-name "wwwcrazy.com";
  option routers 10.0.0.1;
  option subnet-mask 255.255.255.0;
  option broadcast-address 10.0.0.255;
  default-lease-time 600;
  max-lease-time 7200;
}

host komp1 {
  hardware ethernet 00:0e:xx:xx:xx:xx;
  fixed-address 10.0.0.3;
#  server-name "toccata.fugue.com";
}

host komp2 {
  hardware ethernet 00:0e:xx:xx:xx:xx;
  fixed-address 10.0.0.4;
#  server-name "toccata.fugue.com";
}

do eth0 ip przypisany jest od DHCP usługodawcy internetowego, ip wew to 10.2.7.44, brama to 10.2.7.1.

Wszystko działa z wyjątkiem udostępniania internetu dla komputerów podpiętych do servera, siedze nad tym już chyba z tydzień i nie działa, bardzo proszę jak znacie jak to można zrobić najprościej bo już dostaje świra :)
najfajniej by było jak dało by się to zdobić bez żadnego firewalla żeby wszystkie porty były na kompach otwarte.
sorki jak wypisuje głupoty ale z linuxem dopiero co zaczołem przygode... :))

maverick44 · 2005-10-31 13:14:54

Z tego co wyczytalem kiedys twoja wewnetrzna siec nie mzoe miec tej samej maski co siec na zewnatrz. W sumie to nie wiadomo jaka masz maske na eth0 bo nie napisales ale moze zmien ip sieci wewnetrznej na jakas inna klase np. 172.16.x.x no i w pliku dhcpd.conf powinno byc tak mniej wiecej

Kod:

subnet 10.0.0.0 netmask 255.255.255.0 {
range 10.0.0.3 10.0.0.6;
# option name-servers bb.home.vix.com, gw.home.vix.com;
  option domain-name "wwwcrazy.com";
  option routers 10.0.0.1;
  option subnet-mask 255.255.255.0;
  option broadcast-address 10.0.0.255;
  default-lease-time 600;
  max-lease-time 7200;

host komp1 {
  hardware ethernet 00:0e:xx:xx:xx:xx;
  fixed-address 10.0.0.3;
#  server-name "toccata.fugue.com";
}

host komp2 {
  hardware ethernet 00:0e:xx:xx:xx:xx;
  fixed-address 10.0.0.4;
#  server-name "toccata.fugue.com";
} 
}

dla pewnosci zmien klase ip i maske

BaB · 2005-10-31 13:22:46

ja tam proponuje zacząć od lektury:
http://dug.net.pl/texty/masq.php

kudzik · 2005-10-31 14:06:35

Z tego co wyczytalem kiedys twoja wewnetrzna siec nie mzoe miec tej samej maski co siec na zewnatrz

z inną klasą próbowałem ale też nędza... z maską jeszcze nie kombinowałem jak wróce z roboty to spróbuje może rzeczywiście pomoże, bo taką samą mam na eth0, jeszcze pytanie czy w iptables trzeba jakieś zmaiany powprowadzać ???

ja tam proponuje zacząć od lektury:
http://dug.net.pl/texty/masq.php

Z tego też się starałem korzystać całe google już przekopałem i dalej nie działało. a więc może ktoś na tym forum znajdzie jakiś błąd lub będzie miał jakiś sensowny pomysł...

BaB · 2005-10-31 14:09:27

jeszcze pytanie czy w iptables trzeba jakieś zmaiany powprowadzać ???

proponuje jednak jeszcze raz dokładnie przeczytać ten art http://dug.net.pl/texty/masq.php

kudzik · 2005-10-31 14:16:26

proponuje jednak jeszcze raz dokładnie przeczytać ten art http://dug.net.pl/texty/masq.php

No dobra wygrałeś poczytam, może coś przeoczyłem, może nie wszystko robiłem tak jak trzeba...

maverick44 · 2005-10-31 14:44:26

iptables jest obowiazkowe jesli chcesz podzielic net w sieci lokalnej ;)

korbol · 2005-10-31 15:11:48

najfajniej by było jak dało by się to zdobić bez żadnego firewalla żeby wszystkie porty były na kompach otwarte.

aby wszystko bylo otwarte robisz taki mały myk i juz masz podzielony net najprosciej jak sie da:

Kod:

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -t nat -A POSTROUTING -j MASQUERADE

Oczywiscie jest to zero zabezpieczenia przed niczym:) ale tak chciales.
Pierwsze 3 linijki mozesz sobie podarowac bo domyslna polityka jest n accept.Z tym ze musisz sie uporac ze skonfigurowaniem tych dwoch kart sieciowych
A co do dhcp to tak jak Ci Maverick44 podał (bo pomylileś sieć)oraz zapodać dnsy, ale chyba trzeba takze w /etc/default/dhcp zapodać coś takiego ale nie jestem pewien(bo jedziesz na 2 sieciowkach):

Kod:

INTERFACES="eth1 eth2"

Lecz niewiez mi w 100% :)

maverick44 · 2005-10-31 15:18:50

No własnie zgadza sie dns tez trzeba dopisac do dhcp za pomoca takiego wpisu

Kod:

option domain-name-servers 194.204.152.34, 194.204.159.1;

a pomyslil sie z siecia i zle klamry byly rozmieszczone :)

BiExi · 2005-10-31 17:41:25

A wiec pokolei
1. masz te same klasy adresowe na interfejsach eth1 i eth2 i o tych samych maskach nie jest to poprawne, mozesz miec te same klasy adresowe ale muisz se maski poprzeliczac ale jest to klopotliwe dlatego proponuje takie ustawienie

Kod:

iface eth1 inet static 
  address 10.0.0.1 
  netmask 255.255.255.0  

iface eth1 inet static 
  address 10.0.1.1
  netmask 255.255.255.0

co do dehacepa to proponuje zmodyfikowac w /etc/default/dhcp
linijke INTERFACES="eth0" by wygladala tak

Kod:

INTERFACES="eth1 eth2"

]

i zmodyfikuj swoj plik dhcpd.conf

Kod:

subnet 10.0.0.0 netmask 255.255.255.0 {
  range 10.0.0.2 10.0.0.250;
  default-lease-time 3600;
  option domain-name "wwwcrazy.com"; 
  option domain-name-servers 194.204.152.34, 194.204.159.1;
  option netbios-name-servers 10.0.0.1;
  option routers 10.0.0.1;
  option subnet-mask 255.255.255.0;
  option broadcast-address 10.0.0.255;
}
host komp1 { 
  hardware ethernet 00:0e:xx:xx:xx:xx; 
  fixed-address 10.0.0.3; 
} 


subnet 10.0.1.0 netmask 255.255.255.0 {
  range 10.0.1.2 10.0.1.5;
  default-lease-time 3600;
  option domain-name "wwwcrazy.com"; 
  option domain-name-servers 194.204.152.34, 194.204.159.1;
  option netbios-name-servers 10.0.1.1;
  option routers 10.0.1.1;
  option subnet-mask 255.255.255.0;
  option broadcast-address 10.0.1.255;
}
host komp2 { 
  hardware ethernet 00:0e:xx:xx:xx:xx; 
  fixed-address 10.0.1.2; 
} 
}

na pewno bedzie to elegancko, co do firewall'a zablokowalabym dostep na INPUT dla eth0 by nikt z zewnatrz nie zygal Ci do server'a... a ruch w seci loklanej puscilabym na ACCEPT

polecam lekture
http://dug.net.pl/texty/ethernet.php
http://dug.net.pl/texty/Iptables_by_Atom_Zero.pdf
http://dug.net.pl/texty/iptables.pdf
http://dug.net.pl/texty/linuxadmin2.pdf

korbol · 2005-10-31 19:20:56

A ja tak nadobowiazkowo zapytam jezeli serwer dhcp skonfigurowac tak aby przyznawal dynamicznie ip-ki to skad by wiedzial na ktorym interfejsie jaki ip-ik z jakiej podsieci przyznać. Czy taki serwer dhcp moze przydzielać inne ipki niż te ktore wynikaja ze skonfigurowania poszczególnych interfejsów?

kudzik · 2005-11-01 12:33:23

Udało się :))
Zmieniłem podsieci tak
Na 192.168.0.1 i 192.168.1.1 dodałem servery DNS, zmieniłem maski na 255.255.255.224 i działa...
tylko z iptables nic nie robiłem, ale działa

Dzięki wszystkim za pomoc a w szczególności BiExi ;)

a teraz zagłębiam się w dalsze drążenie tematu, może firewalla jednak zrobie hehehe

korbol · 2005-11-01 12:43:30

A w jaki sposób rozdziliłes internet(zmaskowales ip-ki tych dwóch komputerów)?

kudzik · 2005-11-01 12:54:40

sorki właśnie tak jest jak człowiek się cieszy i pisze bezmyślinie posty.
Wczoraj zanim to wszysko zaczeło działać wklepałem regółe do iptables którą mi podesłałeś. tylko pytanie jest czy iptables domyślie zapamiętuje wprowadzone regóły, bo jeśli tak to by wzystko wyjaśniało... że zadziałoło dzięki nim.

BiExi · 2005-11-01 13:47:31

jesli masz w default podane 2 interfejsy sieciowe to wlasnie na nich bedzie przydzielal ip a klasy adresowe rozpozna autoatycznie

jesli chesz zeby nie przydzielal innym kopom to wywal z pliku

range 10.0.0.2 10.0.0.250;

korbol · 2005-11-01 14:05:36

orki właśnie tak jest jak człowiek się cieszy i pisze bezmyślinie posty.
Wczoraj zanim to wszysko zaczeło działać wklepałem regółe do iptables którą mi podesłałeś. tylko pytanie jest czy iptables domyślie zapamiętuje wprowadzone regóły, bo jeśli tak to by wzystko wyjaśniało... że zadziałoło dzięki nim.

Zeby dzialalo po restarcie komputera musisz zrobić skrypt startowy z regulkami iptables a jak to zrobić jest napisane tutaj http://dug.net.pl/texty/masq.php

jesli masz w default podane 2 interfejsy sieciowe to wlasnie na nich bedzie przydzielal ip a klasy adresowe rozpozna autoatycznie

jesli chesz zeby nie przydzielal innym kopom to wywal z pliku

range 10.0.0.2 10.0.0.250;

no tak ale jak bysmy chcieli zeby dhcp przydzielił zupełnie inna maske i ip (dynamicznie w moim tłumaczniu losowo wybrany ip z podanego przedziału) niż te ktore posiada jego interfejs przez ktory przydziela ip-ki to jakoś musielibysmy poinformowac tego dhcp zeby na eth1 zapodawal losowe ipki z przedziału 192.168.9.0/24 a na eth2 192.168.10.0/24
ale jak to zrobić?

BiExi · 2005-11-01 14:17:57

do tego masz sesje [b] subnet[/b[ w konfigu dehacep'a

korbol · 2005-11-01 14:25:38

Tzn ze w subnet wpisuje moją siec i maske na jaka skonfigurowany jest ten interfejs a w range moge podać wyssane z palca ip-ki NIEnależące do tejże sieci? Bo o to mi się cały czas rozchodzi

kudzik · 2005-11-01 18:55:31

Zeby dzialalo po restarcie komputera musisz zrobić skrypt startowy z regulkami iptables a jak to zrobić jest napisane tutaj http://dug.net.pl/texty/masq.php

zrobione działa :)

Forum Debian Users Gang

Ogłoszenie

#1 2005-10-31 12:29:58

kudzik - Użytkownik

3 sieciówki server i 2 kompy routing

Kod:

Kod:

Kod:

#2 2005-10-31 13:14:54

maverick44 - Moderator

Re: 3 sieciówki server i 2 kompy routing

Kod:

#3 2005-10-31 13:22:46

BaB - Członek DUG

Re: 3 sieciówki server i 2 kompy routing

#4 2005-10-31 14:06:35

kudzik - Użytkownik

Re: 3 sieciówki server i 2 kompy routing

#5 2005-10-31 14:09:27

BaB - Członek DUG

Re: 3 sieciówki server i 2 kompy routing

#6 2005-10-31 14:16:26

kudzik - Użytkownik

Re: 3 sieciówki server i 2 kompy routing

#7 2005-10-31 14:44:26

maverick44 - Moderator

Re: 3 sieciówki server i 2 kompy routing

#8 2005-10-31 15:11:48

korbol - Członek DUG

Re: 3 sieciówki server i 2 kompy routing

Kod:

Kod:

#9 2005-10-31 15:18:50

maverick44 - Moderator

Re: 3 sieciówki server i 2 kompy routing

Kod:

#10 2005-10-31 17:41:25

BiExi - matka przelozona

Re: 3 sieciówki server i 2 kompy routing

Kod:

Kod:

Kod:

#11 2005-10-31 19:20:56

korbol - Członek DUG

Re: 3 sieciówki server i 2 kompy routing

#12 2005-11-01 12:33:23

kudzik - Użytkownik

Re: 3 sieciówki server i 2 kompy routing

#13 2005-11-01 12:43:30

korbol - Członek DUG

Re: 3 sieciówki server i 2 kompy routing

#14 2005-11-01 12:54:40

kudzik - Użytkownik

Re: 3 sieciówki server i 2 kompy routing

#15 2005-11-01 13:47:31

BiExi - matka przelozona

Re: 3 sieciówki server i 2 kompy routing

#16 2005-11-01 14:05:36

korbol - Członek DUG

Re: 3 sieciówki server i 2 kompy routing

#17 2005-11-01 14:17:57

BiExi - matka przelozona

Re: 3 sieciówki server i 2 kompy routing

#18 2005-11-01 14:25:38

korbol - Członek DUG

Re: 3 sieciówki server i 2 kompy routing

#19 2005-11-01 18:55:31

kudzik - Użytkownik

Re: 3 sieciówki server i 2 kompy routing

Stopka forum