URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 4914
[ Назад ]

Исходное сообщение
"Router iptables 1 интернет интерфейс 2 локальных"
Отправлено makckc , 09-Авг-11 18:51

Есть вопрос? Имеется машина Debian, настроен iptables + squid + htb
eth0 смотрит в интернет, eth1 смотрит в локальную сеть шлюзом 192.168.2.100, eth2 смотрит в локальную сеть шлюзом 192.168.2.99
#!/bin/bash
# 5.8.11
IPT=/sbin/iptables
NETWORK=192.168.2.0/24
$IPT -F
$IPT -t nat -F
$IPT -P INPUT ACCEPT
$IPT -P FORWARD ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT
$IPT -A INPUT -p icmp -j ACCEPT
#ssh
$IPT -A INPUT -p tcp --dport 22 -j ACCEPT
#
$IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPT -A FORWARD -m conntrack --ctstate NEW -i eth1 -s $NETWORK -j ACCEPT
#Натим и редиректим все запросы идущие к 80ому порту на сквид
$IPT -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128
$IPT -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#Garena порты Warcraft3
$IPT -A INPUT -i eth2 -p tcp -m multiport --dports 7456,8687 -j ACCEPT
$IPT -A INPUT -i eth2 -p udp -m multiport --dports 1513 -j ACCEPT
$IPT -A INPUT -i eth1 -p tcp --dport 53 -j ACCEPT
$IPT -A INPUT -i eth1 -p udp --dport 53 -j ACCEPT
$IPT -A INPUT -i eth2 -p tcp --dport 53 -j ACCEPT
$IPT -A INPUT -i eth2 -p udp --dport 53 -j ACCEPT
$IPT -A INPUT -i eth2 -j REJECT
Вобщем на eth1-192.168.2.100 открыто все, полноценный интернет, на eth2-192.168.2.99 открыты только порты для игр Warcraft 3 Garena интернет на нем не работает, проблема в том что когда я переключаю шлюз с 192.168.2.100-eth1 на 192.168.2.99-eth2 у меня остаются подключения на eth1 они не сбрасываются на 192.168.2.99-eth2 и продолжает работать интернет и используется шлюз 192.168.2.100, подскажите как победить этот недуг в линуксе впервые

Содержание

Router iptables 1 интернет интерфейс 2 локальных,reader, 21:10 , 09-Авг-11
- Router iptables 1 интернет интерфейс 2 локальных,makckc, 23:29 , 09-Авг-11
  - Router iptables 1 интернет интерфейс 2 локальных,makckc, 23:33 , 09-Авг-11
    - Router iptables 1 интернет интерфейс 2 локальных,reader, 10:35 , 10-Авг-11
- Router iptables 1 интернет интерфейс 2 локальных,makckc, 23:37 , 09-Авг-11
  - Router iptables 1 интернет интерфейс 2 локальных,makckc, 00:02 , 10-Авг-11
    - Router iptables 1 интернет интерфейс 2 локальных,reader, 10:38 , 10-Авг-11
      - Router iptables 1 интернет интерфейс 2 локальных,makckc, 11:08 , 10-Авг-11
        
        Router iptables 1 интернет интерфейс 2 локальных,reader, 11:43 , 10-Авг-11
      - Router iptables 1 интернет интерфейс 2 локальных,makckc, 11:13 , 10-Авг-11
        
        Router iptables 1 интернет интерфейс 2 локальных,makckc, 11:32 , 10-Авг-11
        
        Router iptables 1 интернет интерфейс 2 локальных,reader, 11:48 , 10-Авг-11

Сообщения в этом обсуждении

"Router iptables 1 интернет интерфейс 2 локальных"
Отправлено reader , 09-Авг-11 21:10

>[оверквотинг удален]
> ACCEPT
> $IPT -A INPUT -i eth1 -p tcp --dport 53 -j ACCEPT
> $IPT -A INPUT -i eth1 -p udp --dport 53 -j ACCEPT
> $IPT -A INPUT -i eth2 -p tcp --dport 53 -j ACCEPT
> $IPT -A INPUT -i eth2 -p udp --dport 53 -j ACCEPT
> $IPT -A INPUT -i eth2 -j REJECT
> Вобщем на eth1-192.168.2.100 открыто все, полноценный интернет, на eth2-192.168.2.99
> открыты только порты для игр Warcraft 3 Garena интернет на нем
> не работает, проблема в том что когда я переключаю шлюз с
> 192.168.2.100-eth1 на 192.168.2.99-eth2 у меня остаются подключения на eth1 они не
так где вы это переключаете? у клиента изменяете?
> сбрасываются на 192.168.2.99-eth2 и продолжает работать интернет и используется шлюз 192.168.2.100,
> подскажите как победить этот недуг в линуксе впервые
тут, по моему, не про линукс, а про tcp протокол

"Router iptables 1 интернет интерфейс 2 локальных"
Отправлено makckc , 09-Авг-11 23:29

>[оверквотинг удален]
>> $IPT -A INPUT -i eth2 -p udp --dport 53 -j ACCEPT
>> $IPT -A INPUT -i eth2 -j REJECT
>> Вобщем на eth1-192.168.2.100 открыто все, полноценный интернет, на eth2-192.168.2.99
>> открыты только порты для игр Warcraft 3 Garena интернет на нем
>> не работает, проблема в том что когда я переключаю шлюз с
>> 192.168.2.100-eth1 на 192.168.2.99-eth2 у меня остаются подключения на eth1 они не
> так где вы это переключаете? у клиента изменяете?
>> сбрасываются на 192.168.2.99-eth2 и продолжает работать интернет и используется шлюз 192.168.2.100,
>> подскажите как победить этот недуг в линуксе впервые
> тут, по моему, не про линукс, а про tcp протокол
Зарасти, если реализовываешь на линуксе, это разве не про него ?

"Router iptables 1 интернет интерфейс 2 локальных"
Отправлено makckc , 09-Авг-11 23:33

>[оверквотинг удален]
>>> $IPT -A INPUT -i eth2 -j REJECT
>>> Вобщем на eth1-192.168.2.100 открыто все, полноценный интернет, на eth2-192.168.2.99
>>> открыты только порты для игр Warcraft 3 Garena интернет на нем
>>> не работает, проблема в том что когда я переключаю шлюз с
>>> 192.168.2.100-eth1 на 192.168.2.99-eth2 у меня остаются подключения на eth1 они не
>> так где вы это переключаете? у клиента изменяете?
>>> сбрасываются на 192.168.2.99-eth2 и продолжает работать интернет и используется шлюз 192.168.2.100,
>>> подскажите как победить этот недуг в линуксе впервые
>> тут, по моему, не про линукс, а про tcp протокол
> Зарасти, если реализовываешь на линуксе, это разве не про него ? Причем тут протокол? почитаете изложенное выше

"Router iptables 1 интернет интерфейс 2 локальных"
Отправлено reader , 10-Авг-11 10:35

>[оверквотинг удален]
>>>> $IPT -A INPUT -i eth2 -j REJECT
>>>> Вобщем на eth1-192.168.2.100 открыто все, полноценный интернет, на eth2-192.168.2.99
>>>> открыты только порты для игр Warcraft 3 Garena интернет на нем
>>>> не работает, проблема в том что когда я переключаю шлюз с
>>>> 192.168.2.100-eth1 на 192.168.2.99-eth2 у меня остаются подключения на eth1 они не
>>> так где вы это переключаете? у клиента изменяете?
>>>> сбрасываются на 192.168.2.99-eth2 и продолжает работать интернет и используется шлюз 192.168.2.100,
>>>> подскажите как победить этот недуг в линуксе впервые
>>> тут, по моему, не про линукс, а про tcp протокол
>> Зарасти, если реализовываешь на линуксе, это разве не про него ? Причем тут протокол? почитаете изложенное выше
если вы меняете таблицу маршрутизации, то реакция на это у разных OS будет одинаковая.
честно, читал, но нифига не понял.

"Router iptables 1 интернет интерфейс 2 локальных"
Отправлено makckc , 09-Авг-11 23:37

>[оверквотинг удален]
>> $IPT -A INPUT -i eth1 -p udp --dport 53 -j ACCEPT
>> $IPT -A INPUT -i eth2 -p tcp --dport 53 -j ACCEPT
>> $IPT -A INPUT -i eth2 -p udp --dport 53 -j ACCEPT
>> $IPT -A INPUT -i eth2 -j REJECT
>> Вобщем на eth1-192.168.2.100 открыто все, полноценный интернет, на eth2-192.168.2.99
>> открыты только порты для игр Warcraft 3 Garena интернет на нем
>> не работает, проблема в том что когда я переключаю шлюз с
>> 192.168.2.100-eth1 на 192.168.2.99-eth2 у меня остаются подключения на eth1 они не
> так где вы это переключаете? у клиента изменяете?
>> сбрасываются на 192.168.2.99-eth2 и продолжает работать интернет и используется шлюз 192.168.2.100,
именно у меня нет клуб, стои крав 100 интернет тариф, 99 только онлайн без интернета только игры

"Router iptables 1 интернет интерфейс 2 локальных"
Отправлено makckc , 10-Авг-11 00:02

>[оверквотинг удален]
>>> $IPT -A INPUT -i eth1 -p udp --dport 53 -j ACCEPT
>>> $IPT -A INPUT -i eth2 -p tcp --dport 53 -j ACCEPT
>>> $IPT -A INPUT -i eth2 -p udp --dport 53 -j ACCEPT
>>> $IPT -A INPUT -i eth2 -j REJECT
>>> Вобщем на eth1-192.168.2.100 открыто все, полноценный интернет, на eth2-192.168.2.99
>>> открыты только порты для игр Warcraft 3 Garena интернет на нем
>>> не работает, проблема в том что когда я переключаю шлюз с
>>> 192.168.2.100-eth1 на 192.168.2.99-eth2 у меня остаются подключения на eth1 они не
>> так где вы это переключаете? у клиента изменяете?
>>> сбрасываются на 192.168.2.99-eth2 и продолжает работать интернет и используется шлюз 192.168.2.100,
Ну и если раскладывать по логике, то нужно что бы клиент который обращался на шлюз 192.168.2.100-eth1 от туда и получал по правилу роутера, соответственно если запрос идет с 192.168.2.99-eth2 по правилу eth2 то правила соблюдались соответственно...

"Router iptables 1 интернет интерфейс 2 локальных"
Отправлено reader , 10-Авг-11 10:38

>[оверквотинг удален]
>>>> Вобщем на eth1-192.168.2.100 открыто все, полноценный интернет, на eth2-192.168.2.99
>>>> открыты только порты для игр Warcraft 3 Garena интернет на нем
>>>> не работает, проблема в том что когда я переключаю шлюз с
>>>> 192.168.2.100-eth1 на 192.168.2.99-eth2 у меня остаются подключения на eth1 они не
>>> так где вы это переключаете? у клиента изменяете?
>>>> сбрасываются на 192.168.2.99-eth2 и продолжает работать интернет и используется шлюз 192.168.2.100,
> Ну и если раскладывать по логике, то нужно что бы клиент который
> обращался на шлюз 192.168.2.100-eth1 от туда и получал по правилу роутера,
> соответственно если запрос идет с 192.168.2.99-eth2 по правилу eth2 то правила
> соблюдались соответственно...
если не можете по человечески объяснить что делаете, то показывайте какие команда на каких машинах даете
1 у вас разрешен весь FORWARD
2 по моему в таблице состояния учитываются ip и порты, а интерфейс нет

"Router iptables 1 интернет интерфейс 2 локальных"
Отправлено makckc , 10-Авг-11 11:08

>[оверквотинг удален]
>>>>> не работает, проблема в том что когда я переключаю шлюз с
>>>>> 192.168.2.100-eth1 на 192.168.2.99-eth2 у меня остаются подключения на eth1 они не
>>>> так где вы это переключаете? у клиента изменяете?
>>>>> сбрасываются на 192.168.2.99-eth2 и продолжает работать интернет и используется шлюз 192.168.2.100,
>> Ну и если раскладывать по логике, то нужно что бы клиент который
>> обращался на шлюз 192.168.2.100-eth1 от туда и получал по правилу роутера,
>> соответственно если запрос идет с 192.168.2.99-eth2 по правилу eth2 то правила
>> соблюдались соответственно...
> если не можете по человечески объяснить что делаете, то показывайте какие команда
> на каких машинах даете
Да я вроде как объяснил, мне нужно что бы трафик лился с одной машины в сеть 192,168,2,0, по разным шлюзам, например машин 10 с диапазоном IP 192,168,2,1-192,168,2,10 не важно как они там переключают шлюзы у себя на машинах, просто вручную! когда я обращаюсь на 192,168,2,100 где все открыто интернет бегает, это нормально но, когда я меняю шлюз на 192,168,2,99, у меня трафик не бегает через 192,168,2,99! может и бегает через него, но правила не работают для 192,168,2,99 я как будто остаюсь на 192,168,2,100, роутер

"Router iptables 1 интернет интерфейс 2 локальных"
Отправлено reader , 10-Авг-11 11:43

>[оверквотинг удален]
>> если не можете по человечески объяснить что делаете, то показывайте какие команда
>> на каких машинах даете
> Да я вроде как объяснил, мне нужно что бы трафик лился с
> одной машины в сеть 192,168,2,0, по разным шлюзам, например машин 10
> с диапазоном IP 192,168,2,1-192,168,2,10 не важно как они там переключают шлюзы
> у себя на машинах, просто вручную! когда я обращаюсь на 192,168,2,100
> где все открыто интернет бегает, это нормально но, когда я меняю
> шлюз на 192,168,2,99, у меня трафик не бегает через 192,168,2,99! может
> и бегает через него, но правила не работают для 192,168,2,99 я
> как будто остаюсь на 192,168,2,100, роутер
обращаться на 192.168.2.99 и идти в инет через 192.168.2.99 для iptables не одно и тоже, в первом случае используется INPUN, во втором FORWARD.
FORWARD у вас весь разрешен, соответственно при смене ip шлюза у клиента, если интерфейс в таблице состояния не учитывается, то даже ссесия не будет прервана на шлюзе.
если же учитывается то клиент востановит соединение через новый ip шлюза, вы вить ему это не запретили.
так что пишите правила в FORWARD.

"Router iptables 1 интернет интерфейс 2 локальных"
Отправлено makckc , 10-Авг-11 11:13

>[оверквотинг удален]
>>>>> сбрасываются на 192.168.2.99-eth2 и продолжает работать интернет и используется шлюз 192.168.2.100,
>> Ну и если раскладывать по логике, то нужно что бы клиент который
>> обращался на шлюз 192.168.2.100-eth1 от туда и получал по правилу роутера,
>> соответственно если запрос идет с 192.168.2.99-eth2 по правилу eth2 то правила
>> соблюдались соответственно...
> если не можете по человечески объяснить что делаете, то показывайте какие команда
> на каких машинах даете
> 1 у вас разрешен весь FORWARD
> 2 по моему в таблице состояния учитываются ip и порты, а интерфейс
> нет
Я уже перечитал все что есть, в интернете даже намека на мою ситуацию нет
> 2 по моему в таблице состояния учитываются ip и порты, а интерфейс
> нет
мне тоже так кажется

"Router iptables 1 интернет интерфейс 2 локальных"
Отправлено makckc , 10-Авг-11 11:32

>[оверквотинг удален]
>> если не можете по человечески объяснить что делаете, то показывайте какие команда
>> на каких машинах даете
>> 1 у вас разрешен весь FORWARD
>> 2 по моему в таблице состояния учитываются ip и порты, а интерфейс
>> нет
> Я уже перечитал все что есть, в интернете даже намека на мою
> ситуацию нет
>> 2 по моему в таблице состояния учитываются ip и порты, а интерфейс
>> нет
> мне тоже так кажется
У вас есть icq??? пообщаться непосредственно! а готовое решение я выложу тут, в помощь в не легком деле

"Router iptables 1 интернет интерфейс 2 локальных"
Отправлено reader , 10-Авг-11 11:48

>[оверквотинг удален]
>>> 1 у вас разрешен весь FORWARD
>>> 2 по моему в таблице состояния учитываются ip и порты, а интерфейс
>>> нет
>> Я уже перечитал все что есть, в интернете даже намека на мою
>> ситуацию нет
>>> 2 по моему в таблице состояния учитываются ip и порты, а интерфейс
>>> нет
>> мне тоже так кажется
> У вас есть icq??? пообщаться непосредственно! а готовое решение я выложу тут,
> в помощь в не легком деле
226592930