forum.opennet.ru - "Route & Firewall problem" (9)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Route & Firewall problem"

Форумы Информационная безопасность (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Route & Firewall problem"
Сообщение от silmarill on 05-Фев-03, 12:25 (MSK)
Здравствуйте! У моего друга возникла небольшая проблемка. Имеется машинка с двумя сетевыми картами: eth1 - смотрит наружу eth0 - смотрит соответственно внутрь Машинки с обоих интерфейсов имеют постоянные реальные IP адреса. Вопрос в том, как получить доступ с машинок интерфейса eth0 во внешний мир через eth1 и обратно? Linux сконфигурен с поддержкой firewalling, с машинок интерфейса eth0 пингуется тока сам firewall, а далее никак. Kernel ip forwarding включали-отключали - все без толку. Может специальный роутинг? Помогите, плз.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

RE: Route & Firewall problem, ivan, 14:19 , 05-Фев-03, (1)
- RE: Route & Firewall problem, killall, 15:15 , 05-Фев-03, (2)
  - RE: Route & Firewall problem, silmarill, 15:32 , 05-Фев-03, (3)
    - RE: Route & Firewall problem, killall, 19:06 , 05-Фев-03, (4)
      - RE: Route & Firewall problem, silmarill, 19:22 , 05-Фев-03, (5)
        
        RE: Route & Firewall problem, Alex Korshunov, 09:15 , 06-Фев-03, (6)
        
        RE: Route & Firewall problem, silmarill, 10:35 , 06-Фев-03, (7)
        
        RE: Route & Firewall problem, killall, 10:35 , 06-Фев-03, (8)
        
        RE: Route & Firewall problem, silmarill, 10:43 , 06-Фев-03, (9)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: Route & Firewall problem"

Сообщение от ivan on 05-Фев-03, 14:19  (MSK)

>Здравствуйте!
>У моего друга возникла небольшая проблемка.
>Имеется машинка с двумя сетевыми картами:
>eth1 - смотрит наружу
>eth0 - смотрит соответственно внутрь
>Машинки с обоих интерфейсов имеют постоянные реальные IP адреса. Вопрос в том,
>как получить доступ с машинок интерфейса eth0 во внешний мир через
>eth1 и обратно? Linux сконфигурен с поддержкой firewalling, с машинок интерфейса
>eth0 пингуется тока сам firewall, а далее никак. Kernel ip forwarding
>включали-отключали - все без толку. Может специальный роутинг? Помогите, плз.
>
> а NAT не забыл настроить?

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: Route & Firewall problem"

Сообщение от killall on 05-Фев-03, 15:15  (MSK)

>> а NAT не забыл настроить?
Ну если машины имеют реальные адреса, то НАТа никакого не нужно (хотя лучше всё-таки сделать НАТ и выдать машинам свои внутренние адреса).
Forwarding должен быть включён. Если с включённым форвардингом не работает, то проверить правила брендмауэра (ipchains|iptables), не режет ли он пакеты. Для начала будет достаточно скинуть все правила и выставить policy ACCEPT для цепочки форвардинга. Если и после этого не работает, надо ковырять таблицу маршрутизации: смотреть прописан ли gateway по дефолту для eth1, смотреть у клиентов, прописан ли у них в качестве шлюза ip карточки eth0.
Задача то простейшая, какие тут могут быть проблемы?

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: Route & Firewall problem"

Сообщение от silmarill on 05-Фев-03, 15:32  (MSK)

>Если и после этого не работает, надо ковырять таблицу маршрутизации: смотреть
>прописан ли gateway по дефолту для eth1, смотреть у клиентов, прописан
>ли у них в качестве шлюза ip карточки eth0.
>Задача то простейшая, какие тут могут быть проблемы?
Не работает.
ipchains все policy на ACCEPT, форвардинг включен. У юзеров с eth0 прописан в качестве gw ip адрес eth0. У eth1 default gw - машинка провайдера. По идее все должно работать, ан нет..
Linux стоит 5.2 с установленным ядром 2.2.9.

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "RE: Route & Firewall problem"

Сообщение от killall on 05-Фев-03, 19:06  (MSK)

Хорошо.
Смотрим файл /proc/sys/net/ipv4/ip_forward - там должна быть цифра 1, тогда будем точно уверены, что форвардинг включён.
Дальше тупо пишем правила:
ipchains -I forward -j ACCEPT -s users_ip/mask -i eth1 -d 0.0.0.0/0
ipchains -I forward -j ACCEPT -s 0.0.0.0/0 -i eth0 -d users_ip/mask
где users_ip - диапазон адресов юзеров (или хотя бы адрес одного из них для начала), mask - соотвествующая маска
Тогда будем уверены, что пакеты форвардятся и не режутся файерволом.
А где такой Линукс откопали? В музее? :-)

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "RE: Route & Firewall problem"

Сообщение от silmarill on 05-Фев-03, 19:22  (MSK)

>Хорошо.
>Смотрим файл /proc/sys/net/ipv4/ip_forward - там должна быть цифра 1, тогда будем точно
>уверены, что форвардинг включён.
>Дальше тупо пишем правила:
>ipchains -I forward -j ACCEPT -s users_ip/mask -i eth1 -d 0.0.0.0/0
>ipchains -I forward -j ACCEPT -s 0.0.0.0/0 -i eth0 -d users_ip/mask
>где users_ip - диапазон адресов юзеров (или хотя бы адрес одного из
>них для начала), mask - соотвествующая маска
>Тогда будем уверены, что пакеты форвардятся и не режутся файерволом.
цифра "1" есть :)
Все сделал так, как вы написали. (да я, в принципе уже делал так) Ноль эмоций.
>А где такой Линукс откопали? В музее? :-)
Исторически сложилось. Раньше-то вообще там ядро было родное :) (кто не знает - 2.0.36) Дык при нем с машинок eth0 даже сам eth1 не пинговался :)

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "RE: Route & Firewall problem"

Сообщение от Alex Korshunov on 06-Фев-03, 09:15  (MSK)

Добрый день.
iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.255.0 -j SNAT --to <real ip>
Где 192.168.0.0/255.255.255.0 - это ip локалки и маска её же. Или как вариант...
iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.255.255 -d <real ip> -j MASQUERADE

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "RE: Route & Firewall problem"

Сообщение от silmarill on 06-Фев-03, 10:35  (MSK)

>Добрый день.
>
>iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.255.0 -j SNAT --to <real ip>
>
>Где 192.168.0.0/255.255.255.0 - это ip локалки и маска её же. Или как
>вариант...
>
>iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.255.255 -d <real ip> -j MASQUERADE
А без nat-а никак нельзя обойтись? Больше никак не решается эта проблема?

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "RE: Route & Firewall problem"

Сообщение от killall on 06-Фев-03, 10:35  (MSK)

Ну давай тогда таблицу маршрутизации. Смотреть будем.

Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "RE: Route & Firewall problem"

Сообщение от silmarill on 06-Фев-03, 10:43  (MSK)

>Ну давай тогда таблицу маршрутизации. Смотреть будем.
Kernel IP routing table
Destination  Gateway  Genmask         Flags Metric Ref Use Iface
$.$.ru.         *    255.255.255.255 UH    0      0     0 eth1
proxy.*.ru      *    255.255.255.255 UH    0      0     0 eth0
$.$.$.254       *    255.255.255.255 UH    0      0     0 eth1
name.$.ru       *    255.255.255.255 UH    0      0     0 eth1
ns.$.$.ru       *    255.255.255.255 UH    0      0     0 eth1
$.$.$.0         *    255.255.255.0   U     0      0     0 eth0
127.0.0.0       *    255.0.0.0       U     0      0     0 lo
default    $.$.$.254 0.0.0.0         UG    0      0     0 eth1
вобщем на eth1 еще навешены 3 виртуальных интерфейса.
$ - реальные адреса и имена

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "RE: Route & Firewall problem"
Сообщение от ivan on 05-Фев-03, 14:19 (MSK)
>Здравствуйте! >У моего друга возникла небольшая проблемка. >Имеется машинка с двумя сетевыми картами: >eth1 - смотрит наружу >eth0 - смотрит соответственно внутрь >Машинки с обоих интерфейсов имеют постоянные реальные IP адреса. Вопрос в том, >как получить доступ с машинок интерфейса eth0 во внешний мир через >eth1 и обратно? Linux сконфигурен с поддержкой firewalling, с машинок интерфейса >eth0 пингуется тока сам firewall, а далее никак. Kernel ip forwarding >включали-отключали - все без толку. Может специальный роутинг? Помогите, плз. > > а NAT не забыл настроить?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "RE: Route & Firewall problem"
	Сообщение от killall on 05-Фев-03, 15:15 (MSK)
	>> а NAT не забыл настроить? Ну если машины имеют реальные адреса, то НАТа никакого не нужно (хотя лучше всё-таки сделать НАТ и выдать машинам свои внутренние адреса). Forwarding должен быть включён. Если с включённым форвардингом не работает, то проверить правила брендмауэра (ipchains\|iptables), не режет ли он пакеты. Для начала будет достаточно скинуть все правила и выставить policy ACCEPT для цепочки форвардинга. Если и после этого не работает, надо ковырять таблицу маршрутизации: смотреть прописан ли gateway по дефолту для eth1, смотреть у клиентов, прописан ли у них в качестве шлюза ip карточки eth0. Задача то простейшая, какие тут могут быть проблемы?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "RE: Route & Firewall problem"
	Сообщение от silmarill on 05-Фев-03, 15:32 (MSK)
	>Если и после этого не работает, надо ковырять таблицу маршрутизации: смотреть >прописан ли gateway по дефолту для eth1, смотреть у клиентов, прописан >ли у них в качестве шлюза ip карточки eth0. >Задача то простейшая, какие тут могут быть проблемы? Не работает. ipchains все policy на ACCEPT, форвардинг включен. У юзеров с eth0 прописан в качестве gw ip адрес eth0. У eth1 default gw - машинка провайдера. По идее все должно работать, ан нет.. Linux стоит 5.2 с установленным ядром 2.2.9.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "RE: Route & Firewall problem"
	Сообщение от killall on 05-Фев-03, 19:06 (MSK)
	Хорошо. Смотрим файл /proc/sys/net/ipv4/ip_forward - там должна быть цифра 1, тогда будем точно уверены, что форвардинг включён. Дальше тупо пишем правила: ipchains -I forward -j ACCEPT -s users_ip/mask -i eth1 -d 0.0.0.0/0 ipchains -I forward -j ACCEPT -s 0.0.0.0/0 -i eth0 -d users_ip/mask где users_ip - диапазон адресов юзеров (или хотя бы адрес одного из них для начала), mask - соотвествующая маска Тогда будем уверены, что пакеты форвардятся и не режутся файерволом. А где такой Линукс откопали? В музее? :-)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "RE: Route & Firewall problem"
	Сообщение от silmarill on 05-Фев-03, 19:22 (MSK)
	>Хорошо. >Смотрим файл /proc/sys/net/ipv4/ip_forward - там должна быть цифра 1, тогда будем точно >уверены, что форвардинг включён. >Дальше тупо пишем правила: >ipchains -I forward -j ACCEPT -s users_ip/mask -i eth1 -d 0.0.0.0/0 >ipchains -I forward -j ACCEPT -s 0.0.0.0/0 -i eth0 -d users_ip/mask >где users_ip - диапазон адресов юзеров (или хотя бы адрес одного из >них для начала), mask - соотвествующая маска >Тогда будем уверены, что пакеты форвардятся и не режутся файерволом. цифра "1" есть :) Все сделал так, как вы написали. (да я, в принципе уже делал так) Ноль эмоций. >А где такой Линукс откопали? В музее? :-) Исторически сложилось. Раньше-то вообще там ядро было родное :) (кто не знает - 2.0.36) Дык при нем с машинок eth0 даже сам eth1 не пинговался :)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "RE: Route & Firewall problem"
	Сообщение от Alex Korshunov on 06-Фев-03, 09:15 (MSK)
	Добрый день. iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.255.0 -j SNAT --to <real ip> Где 192.168.0.0/255.255.255.0 - это ip локалки и маска её же. Или как вариант... iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.255.255 -d <real ip> -j MASQUERADE
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "RE: Route & Firewall problem"
	Сообщение от silmarill on 06-Фев-03, 10:35 (MSK)
	>Добрый день. > >iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.255.0 -j SNAT --to <real ip> > >Где 192.168.0.0/255.255.255.0 - это ip локалки и маска её же. Или как >вариант... > >iptables -t nat -A POSTROUTING -s 192.168.0.0/255.255.255.255 -d <real ip> -j MASQUERADE А без nat-а никак нельзя обойтись? Больше никак не решается эта проблема?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "RE: Route & Firewall problem"
	Сообщение от killall on 06-Фев-03, 10:35 (MSK)
	Ну давай тогда таблицу маршрутизации. Смотреть будем.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "RE: Route & Firewall problem"
	Сообщение от silmarill on 06-Фев-03, 10:43 (MSK)
	>Ну давай тогда таблицу маршрутизации. Смотреть будем. Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface $.$.ru. * 255.255.255.255 UH 0 0 0 eth1 proxy..ru 255.255.255.255 UH 0 0 0 eth0 $.$.$.254 * 255.255.255.255 UH 0 0 0 eth1 name.$.ru * 255.255.255.255 UH 0 0 0 eth1 ns.$.$.ru * 255.255.255.255 UH 0 0 0 eth1 $.$.$.0 * 255.255.255.0 U 0 0 0 eth0 127.0.0.0 * 255.0.0.0 U 0 0 0 lo default $.$.$.254 0.0.0.0 UG 0 0 0 eth1 вобщем на eth1 еще навешены 3 виртуальных интерфейса. $ - реальные адреса и имена
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх