Я наверное чего то непонимаю,
Iptables это фильтр пакетов, он обрабатывает пакеты уже после маршрутизации ведь так ?
Так вот если я все правильно понимаю тогда у меня не работает маршрутизация Имхо
ситуейшн стандартный
/внутр сеть\192.168.0.1------eth0/router\ppp0-----ppp/inet
так вот
пишу route add -host "айпи прова" eth0
route add default gw "айпи прова"
Вот вроде и вся маршрутизацияно есть пару вопросов, на тачке во внутренней сети какое шлюз ставить ?
eth0 или который писал в default gw ? а ?и почему может неработать ?
подскажите плиз где грабли, я хоть сена подстелю :)
>Я наверное чего то непонимаю,
>Iptables это фильтр пакетов, он обрабатывает пакеты уже после маршрутизации ведь так
>?
>Так вот если я все правильно понимаю тогда у меня не работает
>маршрутизация Имхо
>ситуейшн стандартный
>/внутр сеть\192.168.0.1------eth0/router\ppp0-----ppp/inet
>так вот
>пишу route add -host "айпи прова" eth0
> route add default gw "айпи прова"
>Вот вроде и вся маршрутизация
>
>но есть пару вопросов, на тачке во внутренней сети какое шлюз ставить
>?
>eth0 или который писал в default gw ? а ?
>
>и почему может неработать ?
>
>подскажите плиз где грабли, я хоть сена подстелю :)пров должен выдать тебе свой ip и свой линковочный, если это просто диалап, то сам посомтри, ip который тебе выдает пров по команде
ifconfig , иы должен увидеть что-то типа этого
ppp0 Link encap:Point-to-Point Protocol
inet addr:123.23.34.5 P-t-P:123.23.34.6 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:93036 errors:20 dropped:0 overruns:0 frame:0
TX packets:101168 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
так вот в данном случае ты должен выдать:
route add default gw 123.23.34.5 dev ppp0 # устанавливает шлюз по умолчанию
на тачке в локальной сети шлюз ставишь локал ip твоего сервака, то бишь 192.168.0.1
смотришь таблицу маршрут-ции после всех манипуляций должен видеть что-то типа этого
123.23.34.5 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
192.168.0.0 0.0.0.0 255.255.255.0 UG 0 0 0 eth0
0.0.0.0 123.23.34.5 0.0.0.0 UG 0 0 0 ppp0проверяешь пинг и
в конечном итого в товем rc.local должно быть подобие такого скриптаroute add default gw 123.23.34.5 dev ppp0 # устанавливает шлюз по умолч
modprobe ip_tables #
modprobe ip_conntrack #
modprobe ip_conntrack_ftp # Подгружаем необходимые модули
modprobe ip_conntrack_irc #
modprobe iptable_nat #
modprobe ip_nat_ftp #
modprobe ip_nat_irc #
iptables -F; iptables -t nat -F; iptables -t mangle -F # Очищаем правила
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j SNAT --to-source 123.23.34.5 # Организуем NAT
echo "1" > /proc/sys/net/ipv4/ip_forward # Включаем пересылку пакетов в ядре
Спасибо огромное пойдц проверю, вероятно я не так все делал :(
я использовал для iptables
rc.Firewall.txt
rc.DHCP.Firewall.txt
еще пробовал rc.firewall_023.txtНо там про нат тихо, прочеk HOwto-Iptables там мужик клялся божился что заработют такие правила, а как я понял это лиш настройки политики безопасности., чисто хождение пакетов по цепочкам но не маскарадинга....
я правильно понял ?
>Спасибо огромное пойдц проверю, вероятно я не так все делал :(
>я использовал для iptables
>rc.Firewall.txt
>rc.DHCP.Firewall.txt
>еще пробовал rc.firewall_023.txt
>
>Но там про нат тихо, прочеk HOwto-Iptables там мужик клялся божился что
>заработют такие правила, а как я понял это лиш настройки политики
>безопасности., чисто хождение пакетов по цепочкам но не маскарадинга....
>
>я правильно понял ?у тебя была ошибка в маршрутизации, не тот gw ставил на ppp
и ты правильно понимаешь что Iptables это фильтр пакетов и чтобы он нормално работал сперва должен быть отстроен роутинг.
я сделал все что ты сказал, но не заработало, я подозреваю что опять чтото
не то в маршрутизации, т.к. когда ppp0 поднимаю, адрес смотрю в ifconfig все прописываю,
по адресу, в данный момент был мне пров дал 213.59.219.97 Это ентри97
Но с виндовой машины пингуется только этот 97 айпишинк дальше пинг не идет !
и трасерт естественно тоже ... что делать ?
блин, я уже запутался неужели все так сложно то ?
[root@smb rc.d]# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
entry97.sochi.r * 255.255.255.255 UH 0 0 0 eth0
cisco5300-vosme * 255.255.255.255 UH 0 0 0 ppp0
192.168.0.0 * 255.255.255.0 U 0 0 0 eth0
169.254.0.0 * 255.255.0.0 U 0 0 0 eth0
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default entry97.sochi.r 0.0.0.0 UG 0 0 0 ppp0 default cisco5300-vosme 0.0.0.0 UG 0 0 0 ppp0[root@smb rc.d]# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destinationChain FORWARD (policy ACCEPT)
target prot opt source destinationChain OUTPUT (policy ACCEPT)
target prot opt source destination
[root@smb rc.d]#
> -j SNAT --to-source 123.23.34.5 # Организуем NAT
man iptables
- для динамических адресов - MASQUERADE
This target is only valid in the nat table, in the
POSTROUTING chain. It should only be used with dynami-
cally assigned IP (dialup) connections: if you have a
static IP address, you should use the SNAT target.
Да, еще... Вроде бы pppd умел сам устанавливать/сшибать default gateway. Была у него такая опция, неплохо работала.
>> -j SNAT --to-source 123.23.34.5 # Организуем NAT
>man iptables
>- для динамических адресов - MASQUERADE
> This target is only
>valid in the nat table, in the
>
> POSTROUTING chain. It should only be
>used with dynami-
> cally assigned IP (dialup)
>connections: if you have a
> static IP address, you should use the SNAT
> target.на сктолько я понял надо в скрипте поменять SNAT на MASQUARADE угу,
он же на построутинг работает ? прально ?
или я обшибаюсь опять ?
man iptables - если firewall настроен криво, неправильно etc. - его все равно что нет. Тут стОит понимать, что и зачем. Поищи (например, на этом же сайте) - документации море, часто с примерами. Готового универсального решения нет.
Насчет роутинга - если сеть настроена правильно, обычно ничего не нужно вручную добавлять (route add...), кроме спец. случаев. PPP к ним не относится, он сам умеет временно (пока поднят линк) менять gateway (опция defaultroute).
Спасибо всем за поддержку
еще один вопросец, если роутинг просто поднять без IPTABLES Это работоспособно ? я понимаю что это небезопасно, но если после указания шлюза попрежнему нет выхода наружу, то дело а маршрутизации или дело в отсутствии правил хождения пакетов ?