URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 3561
[ Назад ]

Исходное сообщение
"Два ip на одной сетевухе. Как настроить iptables"
Отправлено toshkin , 29-Ноя-07 11:28

Добрый день. Проблема в следущем:
есть прокси-сервер на ASPLinux, настроен iptables, squid.
одна сетевуха eth0 смотрит в инет, вторая eth1 смотрит в локальную сеть(192.168.0.0).
eth0 имеет ip-адрес 87.249.x.x, шлюз 87.249.y.y, маска 255.255.255.0
На eth0 сделал alias eth0:0 с ip-адресом 10.0.105.204(удаленная сеть), с таким же шлюзом и маской
Цель: нужно пропинговать комп 10.0.105.205 с удаленной сети.
Т.е. нужно чтобы запрос, приходящий из внутренней сети 192.168.0.0 на 10.0.105.205 выходил наружи через eth0:0, а остальные запросы шли бы как раньше через eth0
Помогите настроить iptables, или хотя бы навести на нужную мысль. Зпстрял, не знаю в каком направлении двигаться

Содержание

Два ip на одной сетевухе. Как настроить iptables,toshkin, 12:55 , 29-Ноя-07
- Два ip на одной сетевухе. Как настроить iptables,reader, 13:03 , 29-Ноя-07
Два ip на одной сетевухе. Как настроить iptables,reader, 12:59 , 29-Ноя-07
- Два ip на одной сетевухе. Как настроить iptables,toshkin, 14:37 , 29-Ноя-07
  - Два ip на одной сетевухе. Как настроить iptables,toshkin, 10:44 , 08-Фев-08
    - Два ip на одной сетевухе. Как настроить iptables,reader, 14:05 , 08-Фев-08
      - Два ip на одной сетевухе. Как настроить iptables,toshkin, 14:51 , 08-Фев-08
        
        Два ip на одной сетевухе. Как настроить iptables,toshkin, 15:15 , 08-Фев-08
        
        Два ip на одной сетевухе. Как настроить iptables,reader, 15:42 , 08-Фев-08
        
        Два ip на одной сетевухе. Как настроить iptables,reader, 15:50 , 08-Фев-08
        
        Два ip на одной сетевухе. Как настроить iptables,toshkin, 16:05 , 08-Фев-08
        
        Два ip на одной сетевухе. Как настроить iptables,toshkin, 16:02 , 08-Фев-08
        
        Два ip на одной сетевухе. Как настроить iptables,reader, 16:32 , 08-Фев-08
        
        Два ip на одной сетевухе. Как настроить iptables,toshkin, 16:49 , 08-Фев-08
        Два ip на одной сетевухе. Как настроить iptables,toshkin, 17:20 , 08-Фев-08
        
        Два ip на одной сетевухе. Как настроить iptables,reader, 17:45 , 08-Фев-08
        
        Два ip на одной сетевухе. Как настроить iptables,toshkin, 08:53 , 11-Фев-08
        
        Два ip на одной сетевухе. Как настроить iptables,reader, 10:11 , 11-Фев-08
        
        Два ip на одной сетевухе. Как настроить iptables,toshkin, 13:27 , 11-Фев-08
        
        Два ip на одной сетевухе. Как настроить iptables,reader, 14:18 , 11-Фев-08
        
        Два ip на одной сетевухе. Как настроить iptables,toshkin, 15:10 , 11-Фев-08
        
        Два ip на одной сетевухе. Как настроить iptables,reader, 15:54 , 11-Фев-08

Сообщения в этом обсуждении

"Два ip на одной сетевухе. Как настроить iptables"
Отправлено toshkin , 29-Ноя-07 12:55

да, кстати, при выключенном iptables все работает

"Два ip на одной сетевухе. Как настроить iptables"
Отправлено reader , 29-Ноя-07 13:03

>да, кстати, при выключенном iptables все работает
ну вообще заинтриговал :)

"Два ip на одной сетевухе. Как настроить iptables"
Отправлено reader , 29-Ноя-07 12:59

>Добрый день. Проблема в следущем:
>есть прокси-сервер на ASPLinux, настроен iptables, squid.
>одна сетевуха eth0 смотрит в инет, вторая eth1 смотрит в локальную сеть(192.168.0.0).
>
>eth0 имеет ip-адрес 87.249.x.x, шлюз 87.249.y.y, маска 255.255.255.0
1
>На eth0 сделал alias eth0:0 с ip-адресом 10.0.105.204(удаленная сеть), с таким же
>шлюзом и маской
какой адрес шлюза?
>Цель: нужно пропинговать комп 10.0.105.205 с удаленной сети.
>Т.е. нужно чтобы запрос, приходящий из внутренней сети 192.168.0.0 на 10.0.105.205 выходил
>наружи через eth0:0, а остальные запросы шли бы как раньше через
>eth0
>
>Помогите настроить iptables, или хотя бы навести на нужную мысль. Зпстрял, не
>знаю в каком направлении двигаться
выше SNAT-а с --to-source 87.249.x.x добавить типа этого
-A POSTROUTING -o eth0 -s 192.168.0.0/255.255.255.0 -d 10.0.105.0/255.255.255.0 -j SNAT --to-source 10.0.105.204
и с помощью route прописать маршрут к 10.0.105.0 подсети

"Два ip на одной сетевухе. Как настроить iptables"
Отправлено toshkin , 29-Ноя-07 14:37

Огромное человеческое спасибо, все получилось и заработало.

"Два ip на одной сетевухе. Как настроить iptables"
Отправлено toshkin , 08-Фев-08 10:44

Добрый День, Уважаемые.
А не подскажете, как теперь пропинговать с адреса 10.0.105.205 сеть 192.168.0.0
Какое правило нужно написать для iptables. Запутылся я....

"Два ip на одной сетевухе. Как настроить iptables"
Отправлено reader , 08-Фев-08 14:05

>Добрый День, Уважаемые.
>А не подскажете, как теперь пропинговать с адреса 10.0.105.205 сеть 192.168.0.0
>Какое правило нужно написать для iptables. Запутылся я....
а на 10.0.105.205 маршрут к 192.168.0.0 прописан?
кто у 10.0.105.205 является шлюзом?

"Два ip на одной сетевухе. Как настроить iptables"
Отправлено toshkin , 08-Фев-08 14:51

>а на 10.0.105.205 маршрут к 192.168.0.0 прописан?
не прописывал,
10.0.105.205 на Windows XP
так будет правильно?:
route -p add 192.168.0.0 mask 255.255.0.0 87.249.z.z
>кто у 10.0.105.205 является шлюзом?
шлюз: 87.249.z.z
PS.
Просто адрес 10.0.105.204, который на шлюзе, пингуется с машины 10.0.105.205.
Раз пакеты доходят до шлюза 10.0.105.204, то их наверно можно дальше протолкнуть на 192.168.0.9 и дальше в локалку 192.168.0.0. вот только как это сделать???

"Два ip на одной сетевухе. Как настроить iptables"
Отправлено toshkin , 08-Фев-08 15:15

>>а на 10.0.105.205 маршрут к 192.168.0.0 прописан?
>
>не прописывал,
>10.0.105.205 на Windows XP
>так будет правильно?:
>route -p add 192.168.0.0 mask 255.255.0.0 87.249.z.z
сам отвечу, что неправильно написал.
Правильно не знаю как

"Два ip на одной сетевухе. Как настроить iptables"
Отправлено reader , 08-Фев-08 15:42

>>>а на 10.0.105.205 маршрут к 192.168.0.0 прописан?
>>
>>не прописывал,
>>10.0.105.205 на Windows XP
>>так будет правильно?:
>>route -p add 192.168.0.0 mask 255.255.0.0 87.249.z.z
>
>сам отвечу, что неправильно написал.
>Правильно не знаю как
если машины с IP 192.168.0.x, для 10.0.105.205 находятся за 10.0.105.204, то пакеты для 192.168.0.x должны отправляться через 10.0.105.204
возможно так
route -p add 192.168.0.0 mask 255.255.0.0 10.0.105.204

"Два ip на одной сетевухе. Как настроить iptables"
Отправлено reader , 08-Фев-08 15:50

>[оверквотинг удален]
>>>route -p add 192.168.0.0 mask 255.255.0.0 87.249.z.z
>>
>>сам отвечу, что неправильно написал.
>>Правильно не знаю как
>
>если машины с IP 192.168.0.x, для 10.0.105.205 находятся за 10.0.105.204, то пакеты
>для 192.168.0.x должны отправляться через 10.0.105.204
>
>возможно так
>route -p add 192.168.0.0 mask 255.255.0.0 10.0.105.204
и в зависимости от настроек в сети 192.168.0.0, может потребоваться SNAT на eth1

"Два ip на одной сетевухе. Как настроить iptables"
Отправлено toshkin , 08-Фев-08 16:05

>и в зависимости от настроек в сети 192.168.0.0, может потребоваться SNAT на
>eth1
а можно поподробнее

"Два ip на одной сетевухе. Как настроить iptables"
Отправлено toshkin , 08-Фев-08 16:02

>возможно так
>route -p add 192.168.0.0 mask 255.255.0.0 10.0.105.204
добавил этот маршрут, ничего не изменилось
добавил маршрут
route -p add 192.168.0.0 mask 255.255.0.0 192.168.0.9
теперь шлюз 192.168.0.9 пингуется с адреса 10.0.105.205,
но остальные адреса сети 192.168.0.0 не пингуются

"Два ip на одной сетевухе. Как настроить iptables"
Отправлено reader , 08-Фев-08 16:32

>>возможно так
>>route -p add 192.168.0.0 mask 255.255.0.0 10.0.105.204
>
>добавил этот маршрут, ничего не изменилось
>
1
>добавил маршрут
>route -p add 192.168.0.0 mask 255.255.0.0 192.168.0.9
на машине 10.0.105.205?
чей адрес 192.168.0.9 , машины с ip 10.0.105.204?
2
>
>теперь шлюз 192.168.0.9 пингуется с адреса 10.0.105.205,
>но остальные адреса сети 192.168.0.0 не пингуются
или я неправильно понимаю топологию вашей сети, или ...
неплохо было бы увидеть таблицы маршрутизации с 10.0.105.205, 10.0.105.204 и с машины из 192.168.0.0
про SNAT
http://www.opennet.me/docs/RUS/iptables/#SNATTARGET

"Два ip на одной сетевухе. Как настроить iptables"
Отправлено toshkin , 08-Фев-08 16:49

>1
>>добавил маршрут
>>route -p add 192.168.0.0 mask 255.255.0.0 192.168.0.9
>
>на машине 10.0.105.205?
да, этот маршрут прописал на 10.0.105.205
>чей адрес 192.168.0.9 , машины с ip 10.0.105.204?
да, адрес 192.168.0.9 - это адрес машины с ip 10.0.105.204
на этой машине:
192.168.0.9 = eth1, смотрит в локальную сеть
87.249.x.x = eth0, смотрит в инет
10.0.105.204 = eth0:0, смотрит в сеть 10.0.105.0

"Два ip на одной сетевухе. Как настроить iptables"
Отправлено toshkin , 08-Фев-08 17:20

>или я неправильно понимаю топологию вашей сети, или ...
>неплохо было бы увидеть таблицы маршрутизации с 10.0.105.205, 10.0.105.204 и с машины
>из 192.168.0.0
вывод команды route print c 10.0.105.205:
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0     10.0.105.204    10.0.105.205       1
          0.0.0.0          0.0.0.0   87.249.249.249    10.0.105.205       1
       10.0.105.0    255.255.255.0     10.0.105.205    10.0.105.205       1
     10.0.105.205  255.255.255.255        127.0.0.1       127.0.0.1       1
   10.255.255.255  255.255.255.255     10.0.105.205    10.0.105.205       1
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      192.168.0.0      255.255.0.0     10.0.105.204    10.0.105.205       1
      192.168.0.0      255.255.0.0      192.168.0.9    10.0.105.205       1
        224.0.0.0        224.0.0.0     10.0.105.205    10.0.105.205       1
  255.255.255.255  255.255.255.255     10.0.105.205    10.0.105.205       1
Основной шлюз:      87.249.249.249
===========================================================================
Постоянные маршруты:
  Отсутствует
вывод команды route print c 192.168.0.11:
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.0.9    192.168.0.11       20
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      169.254.0.0      255.255.0.0     192.168.0.11    192.168.0.11       30
      192.168.0.0    255.255.255.0     192.168.0.11    192.168.0.11       20
     192.168.0.11  255.255.255.255        127.0.0.1       127.0.0.1       20
    192.168.0.255  255.255.255.255     192.168.0.11    192.168.0.11       20
        224.0.0.0        240.0.0.0     192.168.0.11    192.168.0.11       20
  255.255.255.255  255.255.255.255     192.168.0.11    192.168.0.11       1
Основной шлюз:         192.168.0.9
===========================================================================
Постоянные маршруты:
  Отсутствует
вывод команды route с 10.0.105.204 он же 192.168.0.9:\
Destination    Gateway    Genmask         Flags  Metric  Ref  Use  Iface
87.249.236.0      *       255.255.255.252   U      0      0    0    etho
192.168.0.0       *       255.255.255.0     U      0      0    0    eth1
10.0.105.0        *       255.255.255.0     U      0      0    0    etho
169.254.0.0       *       255.255.0.0       U      0      0    0    eth1
default     87.249.236.1  0.0.0.0           UG     0      0    0    eth0

"Два ip на одной сетевухе. Как настроить iptables"
Отправлено reader , 08-Фев-08 17:45

192.168.0.0 255.255.0.0 192.168.0.9 10.0.105.205 1
на 10.0.105.205 маршрут помоему лишний
SNAT на интерфейсе с IP 192.168.0.9 по идее не нужен.
если c 192.168.0.9 пингуется и iptables на 192.168.0.9 не блокирует транзит с 10.0.105.205 в 192.168.0.0, то должно работать.

"Два ip на одной сетевухе. Как настроить iptables"
Отправлено toshkin , 11-Фев-08 08:53

>192.168.0.0      255.255.0.0 192.168.0.9    10.0.105.205 1
>на 10.0.105.205 маршрут помоему лишний
убрал этот маршрут.
Теперь:
вывод команды route print c 10.0.105.205:
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0     10.0.105.204    10.0.105.205       1
          0.0.0.0          0.0.0.0   87.249.249.249    10.0.105.205       1
       10.0.105.0    255.255.255.0     10.0.105.205    10.0.105.205       1
     10.0.105.205  255.255.255.255        127.0.0.1       127.0.0.1       1
   10.255.255.255  255.255.255.255     10.0.105.205    10.0.105.205       1
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      192.168.0.0      255.255.0.0     10.0.105.204    10.0.105.205       1
        224.0.0.0        224.0.0.0     10.0.105.205    10.0.105.205       1
  255.255.255.255  255.255.255.255     10.0.105.205    10.0.105.205       1
Основной шлюз:      87.249.249.249
пингуется 192.168.0.9, но остальные адреса сети 192.168.0.0 не пингуются
>SNAT на интерфейсе с IP 192.168.0.9 по идее не нужен.
>если c 192.168.0.9 пингуется и iptables на 192.168.0.9 не блокирует транзит с
>10.0.105.205 в 192.168.0.0, то должно работать.
похоже, что iptables на 192.168.0.9 блокирует транзит с 10.0.105.205 в 192.168.0.0
А что если сделать так:
iptables -A INPUT -s 10.0.105.205 -j ACCEPT
???

"Два ip на одной сетевухе. Как настроить iptables"
Отправлено reader , 11-Фев-08 10:11

>[оверквотинг удален]
>Основной шлюз: 87.249.249.249
>
>пингуется 192.168.0.9, но остальные адреса сети 192.168.0.0 не пингуются
>
>>SNAT на интерфейсе с IP 192.168.0.9 по идее не нужен.
>>если c 192.168.0.9 пингуется и iptables на 192.168.0.9 не блокирует транзит с
>>10.0.105.205 в 192.168.0.0, то должно работать.
>
>похоже, что iptables на 192.168.0.9 блокирует транзит с 10.0.105.205 в 192.168.0.0
>
1
>А что если сделать так:
>iptables -A INPUT -s 10.0.105.205 -j ACCEPT
>???
INPUT - для входящих пакетов, а вам нужны транзитные - FORWARD
примерно так
iptables -A FORWARD -s 10.0.105.205 -d 192.168.0.0/255.255.255.0 -j ACCEPT

"Два ip на одной сетевухе. Как настроить iptables"
Отправлено toshkin , 11-Фев-08 13:27

>если c 192.168.0.9 пингуется и iptables на 192.168.0.9 не блокирует транзит с >10.0.105.205 в 192.168.0.0, то должно работать.
оказывается, с машины 192.168.0.9 не пингуется адрес 10.0.105.205, только с других машин из сети 192.168.0.0 пингуется
>INPUT - для входящих пакетов, а вам нужны транзитные - FORWARD
>примерно так
>iptables -A FORWARD -s 10.0.105.205 -d 192.168.0.0/255.255.255.0 -j ACCEPT
не помогло, или я что-то не так делаю
Если нужно, то могу выложить правила iptables, по которым настраиваю

"Два ip на одной сетевухе. Как настроить iptables"
Отправлено reader , 11-Фев-08 14:18

>[оверквотинг удален]
>
> оказывается, с машины 192.168.0.9 не пингуется адрес 10.0.105.205, только с других
>машин из сети 192.168.0.0 пингуется
>
>>INPUT - для входящих пакетов, а вам нужны транзитные - FORWARD
>>примерно так
>>iptables -A FORWARD -s 10.0.105.205 -d 192.168.0.0/255.255.255.0 -j ACCEPT
>
>не помогло, или я что-то не так делаю
>Если нужно, то могу выложить правила iptables, по которым настраиваю
покажите iptables-save

"Два ip на одной сетевухе. Как настроить iptables"
Отправлено toshkin , 11-Фев-08 15:10

Пора в отпуск..........:(
У меня все заработало, спасибо Вам огромное за помощь!!!
Правила iptables заново занес и заработало.
Спасибо reader, я перед Вами в огромном долгу. Не каждый согласиться на помощь. Побольше бы таких людей, как Вы!!!

"Два ip на одной сетевухе. Как настроить iptables"
Отправлено reader , 11-Фев-08 15:54

>Пора в отпуск..........:(
>У меня все заработало, спасибо Вам огромное за помощь!!!
>Правила iptables заново занес и заработало.
>
>Спасибо reader, я перед Вами в огромном долгу. Не каждый согласиться на
>помощь. Побольше бы таких людей, как Вы!!!
ПОЖАЛУЙСТА :)