URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 3072
[ Назад ]

Исходное сообщение
"Помогите настроить suse+iptables"

Отправлено wostrikov , 15-Дек-06 23:50 
Доброе время суток!

Люди добрые, помогите с такой проблемой...
Имеется Linux 10.2 с дефолтным файрволом.
В принципе настроен он тоже по умолчанию, в принципе все работает, мне от него ничего особо не нужно, в смысле там ни NAT, ни ROUTE, но...
На этом компьютере стоит apache и имеется 2 сетевых интерфейса, скажем eth0-10.0.0.1-наружная сеть(например 10.0.0.0/24) и eth1-192.168.0.1-внутренняя (например 192.168.0.0/24).
Так вот с компьютеров из сети 10.0.0.0/24 на http://10.0.0.1 адрес попасть можно, а на 192.168.0.1 нельзя и наоборот. Т.е. из сети 192.168.0.0/24 зайти на http://192.168.0.1 получается, а на 10.0.0.1 нет...
Подозреваю что вопрос новичка, нужно какое-то правило дописать в таблицу, но какое не знаю :)


Содержание

Сообщения в этом обсуждении
"Помогите настроить suse+iptables"
Отправлено Resident , 16-Дек-06 01:19 
>сеть(например 10.0.0.0/24) и eth1-192.168.0.1-внутренняя (например 192.168.0.0/24).
>Так вот с компьютеров из сети 10.0.0.0/24 на http://10.0.0.1 адрес попасть можно,
>а на 192.168.0.1 нельзя и наоборот. Т.е. из сети 192.168.0.0/24 зайти
>на http://192.168.0.1 получается, а на 10.0.0.1 нет...
>Подозреваю что вопрос новичка, нужно какое-то правило дописать в таблицу, но какое
>не знаю :)

Просто какие-то чудеса у вас творятся. В сусе нет ни каких вывертов с конфигурацией иптаблез, обычный иптаблез, такой же как и во всех остальных линуксах, просто красивая и хорошо продуманная конфигурашка, не заставляющая много думать, но ни каких подводных камней там нет, всё прям как написанно в коментария конфигурационного файла, всё так и есть на самом деле. Может у вас форвардинг не включен, я вот не помню, случаются подобные чудеса, если форвардинг выключен в ядре или нет. Проблема, не в иптаблез, а скорее в чём-то другом.


"Помогите настроить suse+iptables"
Отправлено wostrikov , 16-Дек-06 01:55 
>>сеть(например 10.0.0.0/24) и eth1-192.168.0.1-внутренняя (например 192.168.0.0/24).
>>Так вот с компьютеров из сети 10.0.0.0/24 на http://10.0.0.1 адрес попасть можно,
>>а на 192.168.0.1 нельзя и наоборот. Т.е. из сети 192.168.0.0/24 зайти
>>на http://192.168.0.1 получается, а на 10.0.0.1 нет...
>>Подозреваю что вопрос новичка, нужно какое-то правило дописать в таблицу, но какое
>>не знаю :)
>
>Просто какие-то чудеса у вас творятся. В сусе нет ни каких вывертов
>с конфигурацией иптаблез, обычный иптаблез, такой же как и во всех
>остальных линуксах, просто красивая и хорошо продуманная конфигурашка, не заставляющая много
>думать, но ни каких подводных камней там нет, всё прям как
>написанно в коментария конфигурационного файла, всё так и есть на самом
>деле. Может у вас форвардинг не включен, я вот не помню,
>случаются подобные чудеса, если форвардинг выключен в ядре или нет. Проблема,
>не в иптаблез, а скорее в чём-то другом.

Вот-вот, именно это и странно - сделал все как написано в конфиг файле, там все просто, но не работает. Насчет форвардинга - спасибо за идею, но как проверить это? Просто я ядро даже не пересобирал, то что по умолчанию в релизе 10.2 было, то и использую - 2.6.18.2-34-bigsmp, не подскажете, включен там форвардинг?


"Помогите настроить suse+iptables"
Отправлено Resident , 16-Дек-06 02:50 
что бы налету включить форвардинг:
# /sbin/sysctl net.ipv4.ip_forward=1

что бы при перезагрузке он опять включался, в файл /etc/sysctl.conf надо доббавить строку:
net.ipv4.ip_forward = 1

Но это общий юниксовый метод, который работает везде. А как это правильно оформить в конфигурационных файлах sysV, а уж тем более в сусе, я хоть убей, не понмю (ааа, ламер я!), но это будет работать -- точно.


"Помогите настроить suse+iptables"
Отправлено wostrikov , 16-Дек-06 23:06 
>что бы налету включить форвардинг:
># /sbin/sysctl net.ipv4.ip_forward=1
>
>что бы при перезагрузке он опять включался, в файл /etc/sysctl.conf надо доббавить
>строку:
>net.ipv4.ip_forward = 1
>
>Но это общий юниксовый метод, который работает везде. А как это правильно
>оформить в конфигурационных файлах sysV, а уж тем более в сусе,
>я хоть убей, не понмю (ааа, ламер я!), но это будет
>работать -- точно.


Вообщем не помогло, к сожалению :(
Единственное что выяснил файрвол тут действительно не при чем, я чего-то сразу не догадался его отключить проверить. Даже без файрвола не позволяет заходить на интефейс с айпишником из сети другого интерфейса.