Forum Debian Users Gang

Floo · 2005-11-15 11:01:28

to jest konfig mojego serwera:

$IPTABLES -A INPUT -p ALL -i eth0 -s 192.168.0.0/24 -j ACCEPT
$IPTABLES -A INPUT -p ALL -i eth0 -d 192.168.0.255 -j ACCEPT
$IPTABELS -A FORWARD -i eth1 -o eth0 -j ACCEPT
$IPTABELS -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptabels -t filter -A FORWARD -s 192.168.0.0/255.255.255.0 -d 0/0 -j ACCEPT
/sbin/iptables -t filter -A FORAWRD -s 0/0 -d 192.168.0.0/255.255.255.0 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -j MASQUERADE

$IPTABLES -A INPUT -p ALL -i eth0 -s 192.168.1.0/24 -j ACCEPT
$IPTABLES -A INPUT -p ALL -i eth0 -d 192.168.1.255 -j ACCEPT
$IPTABELS -A FORWARD -i eth2 -o eth0 -j ACCEPT
$IPTABELS -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptabels -t filter -A FORWARD -s 192.168.1.0/255.255.255.0 -d 0/0 -j ACCEPT
/sbin/iptables -t filter -A FORAWRD -s 0/0 -d 192.168.1.0/255.255.255.0 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 0/0 -j MASQUERADE

#$IPTABLES -A INPUT -p ALL -i eth0 -s 192.168.2.0/24 -j ACCEPT
#$IPTABLES -A INPUT -p ALL -i eth0 -d 192.168.2.255 -j ACCEPT
#$IPTABELS -A FORWARD -i eth3 -o eth0 -j ACCEPT
#$IPTABELS -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#/sbin/iptabels -t filter -A FORWARD -s 192.168.2.0/255.255.255.0 -d 0/0 -j ACCEPT
#/sbin/iptables -t filter -A FORAWRD -s 0/0 -d 192.168.2.0/255.255.255.0 -j ACCEPT
#iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -d 0/0 -j MASQUERADE

iface eth0 inet static
internet

iface eth1 inet static
address 192.168.0.1
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255

komp1
ip 192.168.0.2
mask 255.255.255.0
brama 192.168.0.1
DNS 213.134.160.6

iface eth2 inet static
address 192.168.1.1
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255

komp2
ip 192.168.1.2
mask 255.255.255.0
brama 192.168.1.1
DNS 213.134.160.6

iface eth3 inet static
address 192.168.2.1
netmask 255.255.255.0
network 192.168.2.0
broadcast 192.168.2.255

komp3
ip 192.168.2.2
mask 255.255.255.0
brama 192.168.2.1
DNS 213.134.160.6

Mój problem wygląda tak że routing działa mi tylko na jedną sieciówke mianowicie eth1, natomiast na reszte nie :( nie wiem gdzie popełniłem błąd. prosze o pomoc, poprawcie moją konfiguracje albo wskażcie gdzie robie błąd.

korbol · 2005-11-15 12:04:25

Zapodaj wynik

Kod:

# route -n

Floo · 2005-11-15 12:07:48

Kernel IP routing table

Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth3
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
213.134.180.0 0.0.0.0 255.255.252.0 U 0 0 0 eth0
0.0.0.0 213.134.183.254 0.0.0.0 UG 0 0 0 eth0

mam nadzieje że sie rozczytasz

korbol · 2005-11-15 12:21:07

Ja tylko tak gdybam dopuki ktos bardziej w temacie Ci nie pomoze ale co rozumiesz pod pojeciem ze routing dziala tylko na jedna sieciowke eth1?Serwer nie moze naprzyklad pingnąć kompa podpietego do siecówki eth2?

Floo · 2005-11-15 12:49:17

Hmm nie jestem wymiataczem jeśli chodzi o linuxa, ale mysle że jak wszystko by było dobrze to powinno pingować kompa2, (bo kompa1 mi pinguje podpietego z eth1) a co idzie za tym powinien być na nim internet a go nie ma ja chce żeby z eth0 rozdzielał mi internet na te 3 sieciówki (eth1, eth2, eth3) ale bez żadnego podziału łacza (bo nie mam co dzielić 256kb;) a on rozdzielił mi tylko na jedną eth1 i dalej nie przepuszcza.

korbol · 2005-11-15 12:55:51

Sprobuj zmienić

iface eth1 inet static
address 192.168.0.1
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255

na

Kod:

iface eth1 inet static
address 192.168.3.1
netmask 255.255.255.0
network 192.168.3.0
broadcast 192.168.3.255

i na kompie 1 tez mien odpowiednie rzeczy i w firewallu tez ale zjazysz.
Bo przy twoim ustawieniu wszytsko co chcesz wysylać na 192.168.*.* idzie Ci chyba na eth1 czyliidize tam tez to co chcesz zapodac na 192.168.1.0. i 192.168.2.0

Phrozen^Tux · 2005-11-15 13:17:15

Witam !

Przyklad dzialajacego rozwiazania

INET_IFACE="ppp0"

LAN_IP = 192.168.0.1
LANDHCP_IP = 192.168.1.1
[...ciach brodkcasty itp]
LAN_IFACE = eth0
LANDHCP_IFACE = eth2

$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets
$IPTABLES -A FORWARD -i $LAN_IFACE -j ACCEPT
$IPTABLES -A FORWARD -i $LANDHCP_IFACE -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

INPUT
$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_RANGE -j ACCEPT

$IPTABLES -A INPUT -p ALL -i $LANDHCP_IFACE -s $LANDHCP_IP_RANGE -j ACCEPT

$IPTABLES -A INPUT -p ALL -i $LO_IFACE -j ACCEPT

$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -d $LAN_BROADCAST_ADDRESS -j ACCEPT

$IPTABLES -A INPUT -p ALL -i $LANDHCP_IFACE -d $LANDHCP_BROADCAST_ADDRESS -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $INET_IFACE -m state --state ESTABLISHED,RELATED
-j ACCEPT
$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets
$IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udpincoming_packets
$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets

OUTPUT
$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets

$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT

$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $LANDHCP_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -o $INET_IFACE -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -o $LANDHCP_IFACE -j ACCEPT

MASQUERADE
if [ $PPPOE_PMTU == "yes" ] ; then
$IPTABLES -t nat -A POSTROUTING -p tcp --tcp-flags SYN,RST SYN
-j TCPMSS --clamp-mss-to-pmtu
fi
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j MASQUERADE

TO ROZWIAZANIE zapewnia routing pakietow z INTERNETU na obie podsieci z tym ze routing z jednej dodrugiej jest wylaczony.
OCZYWISCIE specjalnie utworzone lancuchy takie jak udpincomming_packets itp sluza do dokldniejszego filtrowania pakietow roznych protokolow .. w twoim pryzpadku oczywiscie fragm z PMTU jest do pominiecia .:)

Pozdrawiam

Floo · 2005-11-15 13:34:53

korbol>>> ale co to ma dać?? myslisz że przy tym ustawieniu adresów bedzie działało na pozostałych sieciówkach?? czy jednak ma błąd w firewallu??

Phrozen^Tux >> Hmm wszystko ładnie tylko nie jestem jeszcze taki biegły w linuksie i prosze o jakąś legede do twojego rozwiązania jeśli można :) czy to już jest na wszystkie interfejsy?? czy dla każdego musze zrobić takie cos?? i co u ciebie jest źródłem internetu z góry dzięki ;)

Phrozen^Tux · 2005-11-15 13:45:25

Ale popatrz ...nie wiem czemu ale masz powielone po 3 razy te same regulki np:
$IPTABELS -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
i jeszcze w dodatku masz tam w nich blad :P:P
IPTABLES a nie IPTABELS

Czy nie masz komunikatow o bledach ??? Zadnych ? przy ladowaniu sie firewalla :) ??

poza tym ja bym ustawil MASQUERADE od razu hurtem na wsystkie podsieci
"-o eth0 -j MASQUERADE

Pozdrawiam

korbol · 2005-11-15 18:53:05

Napisalem Ci dlaczego zmienić choc nie jestem pewnie ale zmień a zamiast Twojego firewalla zapodajna probe ten fullprzepuszczalny:

Kod:

# wlaczenie w kernel'u forwardowania
echo 1 > /proc/sys/net/ipv4/ip_forward
# czyszczenie starych regul
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
# ustawienie polityki dzialania
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT 
iptables -A INPUT -i lo -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

i zobacz czy zadziala abe nie głowkowac na darmo
Czy zadziala czy nie zapodaj jeszcze raz wynik route -n juz po zmianie konfigu eth1
A tak w ogole to na kompie 1 net smigał?

Floo · 2005-11-16 14:16:44

Już wszystko działa małe literówki ;) po poprawieniu odpaliło odrazu dzieki za pomoc :)

korbol · 2005-11-16 14:30:16

A tak z ciekawości zapytam czy eth1 masz nadal tak jak miales skonfigurowane?

Floo · 2005-11-16 14:50:58

Zostawiłem na

Kod:

iface eth1 inet static
address 192.168.3.1
netmask 255.255.255.0
network 192.168.3.0
broadcast 192.168.3.255

korbol · 2005-11-16 14:55:28

Oki a czy moze mo ktos powiedzieć z tym mialem racje czy tez nie?
http://forum.dug.net.pl/viewtopic.php?p=18119#18119

Phrozen^Tux · 2005-11-17 02:25:36

Oki a czy moze mo ktos powiedzieć z tym mialem racje czy tez nie?]/quote] Ale czemu ? Nie bardzo moja lapac :) co miala dac ta podmiana ... Przeciez to tylko interface ... moge robic ich setki
(np eth0:1 eth0:2 ...eth0:34, eth2:31 ) dla sieci/pakietow to bez roznicy przez jaki interface przechodzi i z jaka literka :)

Pozdrawiam

gg: 1640760 Linux Registered User: #289621

Forum Debian Users Gang

Ogłoszenie

#1 2005-11-15 11:01:28

Floo - Użytkownik

Routing nie działa na wszystkie sieciówki

#2 2005-11-15 12:04:25

korbol - Członek DUG

Re: Routing nie działa na wszystkie sieciówki

Kod:

#3 2005-11-15 12:07:48

Floo - Użytkownik

Re: Routing nie działa na wszystkie sieciówki

#4 2005-11-15 12:21:07

korbol - Członek DUG

Re: Routing nie działa na wszystkie sieciówki

#5 2005-11-15 12:49:17

Floo - Użytkownik

Re: Routing nie działa na wszystkie sieciówki

#6 2005-11-15 12:55:51

korbol - Członek DUG

Re: Routing nie działa na wszystkie sieciówki

Kod:

#7 2005-11-15 13:17:15

Phrozen^Tux - Członek DUG

Re: Routing nie działa na wszystkie sieciówki

#8 2005-11-15 13:34:53

Floo - Użytkownik

Re: Routing nie działa na wszystkie sieciówki

#9 2005-11-15 13:45:25

Phrozen^Tux - Członek DUG

Re: Routing nie działa na wszystkie sieciówki

#10 2005-11-15 18:53:05

korbol - Członek DUG

Re: Routing nie działa na wszystkie sieciówki

Kod:

#11 2005-11-16 14:16:44

Floo - Użytkownik

Re: Routing nie działa na wszystkie sieciówki

#12 2005-11-16 14:30:16

korbol - Członek DUG

Re: Routing nie działa na wszystkie sieciówki

#13 2005-11-16 14:50:58

Floo - Użytkownik

Re: Routing nie działa na wszystkie sieciówki

Kod:

#14 2005-11-16 14:55:28

korbol - Członek DUG

Re: Routing nie działa na wszystkie sieciówki

#15 2005-11-17 02:25:36

Phrozen^Tux - Członek DUG

Re: Routing nie działa na wszystkie sieciówki

#16 2005-11-17 10:11:43

korbol - Członek DUG

Re: Routing nie działa na wszystkie sieciówki

Kod:

Stopka forum