Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Strony: 1
- Forum Debian Users Gang
- » Sieci i serwery
- » 2 podsieci dostęp do serwerów Samba, Oracle itp
#1 2010-07-29 10:37:25
rulezdc - 
Członek DUG
- rulezdc
- Członek DUG
- Skąd: Tarnowskie Góry
- Zarejestrowany: 2007-05-22
2 podsieci dostęp do serwerów Samba, Oracle itp
Witam
Walczę z tym już od początku tygodnia i niestety jak narazie połowicznie skutecznie.
Jest sobie sieć jak na pseudo-rysunku:
Kod:
INTERNET<=>eth0<=>ROUTER(192.168.0.1:iptables,imq,htb,squid)<=>eth1<=>SWITCH<=>
<=>SERWER SAMBA (192.168.0.10)
<=>SERWER ORACLE, JBOSS (192.168.0.20)
<=>stacje robocze (192.168.0.0/24)
<=>stacje robocze (192.168.160.0/20)Pierwsze co zrobiłem to na routerze do tablicy routingu dodałem drugą podsieć:
Kod:
route add -net 192.168.160.0/20 dev eth1
Następnie wpis do iptables odnośnie squida i drugiej podsieci:
Kod:
iptables -t nat -A PREROUTING -s 192.168.160.0/20 -d 0/0 -p tcp --dport 80 -j REDIRECT --to-port 3128
Po takich operacjach internet działa na podsieci 192.168.160.0/20.
I teraz mam problem z serwerami, już kombinuje jak tu zrobić aby dana podsieć widziała serwery Samby i Oracle, jednak wszystkie moje wysiłki spełzły na niczym.
Próbowałem dodać wpisy do tablic routingu na serwerkach, niestety brak połączenia.
Próbowałem dodać wpisy do iptables na routerze
Kod:
iptables -A FORWARD -d 192.168.160.0/20 -j ACCEPT iptables -A FORWARD -s 192.168.160.0/20 -j ACCEPT
No tutaj uruchomił mi się jeden serwer na Jbossie (jednak jest ograniczona prędkość przez HTB niewiedzieć czemu)
Mógłby mi ktoś pomóc to cholerstwo skonfigurować, bo już mi się pomysły wyczerpały
Pozdrawiam
Offline
#2 2010-07-29 12:01:05
saiqard - Użytkownik
- saiqard
- Użytkownik
- Skąd: Wałbrzych
- Zarejestrowany: 2009-07-30
Re: 2 podsieci dostęp do serwerów Samba, Oracle itp
najlepiej jak byś na routerze umieścił 3 karty sieciowe: 1 na WAN i 2 na LAN. i wtedy routing między tymi sieciami włączyć i ewentualne blokowanie portów na iptebles
Offline
#3 2010-07-29 12:08:31
djjanek - Użytkownik
#4 2010-07-29 12:23:29
rulezdc - Członek DUG
- rulezdc
- Członek DUG
- Skąd: Tarnowskie Góry
- Zarejestrowany: 2007-05-22
Re: 2 podsieci dostęp do serwerów Samba, Oracle itp
Mam włączony ip_forward
Co do kart sieciowych to nie zda egzaminu gdyż mam takich podsieci około 20
jak zwykle błąd tkwi w szczegółach jednak nei wiem gdzie jest mój błąd
Offline
#5 2010-07-29 12:46:05
ethanak - Użytkownik
Re: 2 podsieci dostęp do serwerów Samba, Oracle itp
rulezdc napisał(-a):
No tutaj uruchomił mi się jeden serwer na Jbossie (jednak jest ograniczona prędkość przez HTB niewiedzieć czemu)
Nie wiem czemu nie wiedzieć, po mojemu to po prostu pchasz w IMQ wszystko co się da (czy trzeba czy nie).
Dawno tego nie robiłem (po jakichś problemach z IMQ napisałem własnego shapera na QUEUE), ale na wszelki wypadek pokaż co masz w mangle.
Aha, ja bym dał coś w stylu:
Kod:
iptables -I FORWARD -p tcp -s 192.168.0.0/16 -d 192.168.0.0/16 -j ACCEPT
zamiast wymieniać kolejne podsieci (o ile mają się nawzajem bez problemu widzieć).
Ostatnio edytowany przez ethanak (2010-07-29 12:49:17)
Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
Zespół Adwokacki Dyskrecja
Offline
#6 2010-07-29 13:02:02
rulezdc - Członek DUG
- rulezdc
- Członek DUG
- Skąd: Tarnowskie Góry
- Zarejestrowany: 2007-05-22
Re: 2 podsieci dostęp do serwerów Samba, Oracle itp
Dobrze piszesz pcham wszystko w IMQ czyli standardowo
Kod:
iptables -t mangle -A POSTROUTING -o eth1 -j IMQ --todev 0 iptables -t mangle -A PREROUTING -i eth1 -j IMQ --todev 1
Tworze sobie dwa łańcuchy tablicy mangle DOWNLOAD i UPLOAD i wtedy markuje pakeity dla uploadu i downloadu
Później markuje pakiety do odpowiednich IP aby je potem poprzez tc przyciąć.
Pingi pomiędzy podsieciami działają, jednak nie mogę się dostać do samby i oracle.
Co do mangle:
Kod:
MARK all -- 192.168.0.2 !192.168.0.1 MARK set 0x3ea MARK all -- 192.168.0.3 !192.168.0.1 MARK set 0x3eb MARK all -- 192.168.0.4 !192.168.0.1 MARK set 0x3ec
Offline
#7 2010-07-29 13:11:24
ethanak - Użytkownik
Re: 2 podsieci dostęp do serwerów Samba, Oracle itp
rulezdc napisał(-a):
Dobrze piszesz pcham wszystko w IMQ czyli standardowo
A nie możesz ich puścić bezpośrednio?
Jak pisałem dawno tego nie robiłem, ale spróbuj wrzucić (przez I a nie A) ACCEPT dla połączeń między sieciami 192.168.x.x w mangle.
Oczywiście wtedy shaping nie będzie dla tych połączeń działać, ale chyba o ile zrozumiałem właśnie o to Ci chodzi...
po namyśle
A właściwie dlaczego wrzucasz w IMQ eth1 (lokalną) a nie eth0 (internet)?
Ostatnio edytowany przez ethanak (2010-07-29 13:15:58)
Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
Zespół Adwokacki Dyskrecja
Offline
#8 2010-07-29 13:23:11
rulezdc - Członek DUG
- rulezdc
- Członek DUG
- Skąd: Tarnowskie Góry
- Zarejestrowany: 2007-05-22
Re: 2 podsieci dostęp do serwerów Samba, Oracle itp
Chodzi mi o takie coś:
1. Podsieć 192.168.160.0/20 ma mieć dostęp do neta z ograniczeniem prędkości łącza oraz korzystanie z squid(to najmniejszy problem).
Aktualnie tylko podsieć 192.168.0.0/24 ma net z podziałem łącza (i dlatego jest IMQ na eth1, gdyż mogę ograniczać ruch przychodzący a nie wychodzący(bynajmniej tak mi się wydaje :)))
2. Podsieć 192.168.160.0/20 ma mieć dostęp do podsieci 192.168.0.0/24 bez żadnych ograniczeń (jedynie ograniczone sprzętowymi uwarunkowaniami: switche, karty sieciowe, itp)
O to mi właśnie chodzi
Offline
#9 2010-07-29 13:39:28
ethanak - Użytkownik
Re: 2 podsieci dostęp do serwerów Samba, Oracle itp
Tak na szybko:
a) ograniczasz chyba również ruch wychodzący (PREROUTING -i eth1)
b) spróbuj jednak wywalić w mangle połączenia lokalne, jakoś w stylu:
Kod:
iptables -t mangle -I PREROUTING -s 192.168.0.0/16 -d 192.168.0.0/16 -p tcp -j ACCEPT iptables -t mangle -I POSTROUTING -s 192.168.0.0/16 -d 192.168.0.0/16 -p tcp -j ACCEPT
Nie wiem czy będzie działać, ale ja bym szedl w tym kierunku
Nim mechaniczne larum zagrasz mi, kanalio,
głosząc nadejście Javy - śmiertelnego wroga!
Zespół Adwokacki Dyskrecja
Offline
#10 2010-07-29 14:00:06
saiqard - Użytkownik
- saiqard
- Użytkownik
- Skąd: Wałbrzych
- Zarejestrowany: 2009-07-30
Re: 2 podsieci dostęp do serwerów Samba, Oracle itp
a jaki masz adres IP na eth1 w routerze?
Offline
#11 2010-07-29 14:03:55
rulezdc - Członek DUG
- rulezdc
- Członek DUG
- Skąd: Tarnowskie Góry
- Zarejestrowany: 2007-05-22
Re: 2 podsieci dostęp do serwerów Samba, Oracle itp
Wyłączę dziś wieczorem HTB i zobaczę czy działą normalnie
Jeszce problem z Oracl-em i Sambą. Pingi sobie normalnie latają pomiędzy kompami czyli 192.168.160.1 i 192.168.0.20 i 192.168.0.10, jednak nie ma możliwości połączenia się z udziałami.
Co do twojego ostatniego komentarza, ten sposób nie działa.
Offline
#12 2010-07-29 14:04:57
rulezdc - Członek DUG
- rulezdc
- Członek DUG
- Skąd: Tarnowskie Góry
- Zarejestrowany: 2007-05-22
Re: 2 podsieci dostęp do serwerów Samba, Oracle itp
saiqard napisał(-a):
a jaki masz adres IP na eth1 w routerze?
192.168.0.1
na rysunku jest napisane, tylko może tak w przewrotny sposób
Offline
Strony: 1
- Forum Debian Users Gang
- » Sieci i serwery
- » 2 podsieci dostęp do serwerów Samba, Oracle itp