форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Не работает маршрутизация на RH9"

Сообщение от Rus. on 13-Ноя-06, 21:09

Шлюз на основе RH9 INET_IP= eth0 смотрит в инет LOCAL_IP= eth1 смотрит в сеть с реальными IP iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -p ALL -i eth1 -j ACCEPT iptables -A INPUT -i eth1 -s 89.222.114.0/25 -j ACCEPT iptables -A INPUT -i lo -s 127.0.0.1 -j ACCEPT iptables -A INPUT -i lo -s $INET_IP -j ACCEPT iptables -A INPUT -i lo -s $LOCAL_IP -j ACCEPT iptables -A INPUT -p ALL -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -t nat -A PREROUTING -i eth1 -p TCP --dport 80 -j REDIRECT --to-port 3128 eth0      Link encap:Ethernet  HWaddr 00:02:B3:B7:CF:2A           inet addr:83.111.111.210  Bcast:83.111.111.223  Mask:255.255.255.240           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1           RX packets:87235 errors:1 dropped:0 overruns:0 frame:1           TX packets:381 errors:0 dropped:0 overruns:0 carrier:0           collisions:0 txqueuelen:100           RX bytes:14258001 (13.5 Mb)  TX bytes:33883 (33.0 Kb)           Interrupt:10 Base address:0xc000 Memory:de041000-de041038 eth1      Link encap:Ethernet  HWaddr 00:02:B3:98:A1:95           inet addr:89.222.114.2  Bcast:89.222.114.127  Mask:255.255.255.128           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1           RX packets:85659 errors:0 dropped:0 overruns:0 frame:0           TX packets:3128 errors:0 dropped:0 overruns:0 carrier:0           collisions:0 txqueuelen:100           RX bytes:14109097 (13.4 Mb)  TX bytes:548574 (535.7 Kb)           Interrupt:11 Base address:0xc400 Memory:de040000-de040038 lo        Link encap:Local Loopback           inet addr:127.0.0.1  Mask:255.0.0.0           UP LOOPBACK RUNNING  MTU:16436  Metric:1           RX packets:162927 errors:0 dropped:0 overruns:0 frame:0           TX packets:162927 errors:0 dropped:0 overruns:0 carrier:0           collisions:0 txqueuelen:0           RX bytes:11125817 (10.6 Mb)  TX bytes:11125817 (10.6 Mb) в sysctl.conf net.ipv4.ip_forward = 1 eth0 и eth1 из сетки 89.222.114.0/25 пингуются без проблем... а вот дальше ни чего не пингуется и соответственно инета у 89.222.114.0/25 нет :( iptables -P FORWARD ACCEPT  и полное отключение фаервола ни чего не дает.... где копать?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени, UBB]

1. "Не работает маршрутизация на RH9"

Сообщение от perece on 14-Ноя-06, 13:05

>Шлюз на основе RH9 > >INET_IP= eth0 смотрит в инет >LOCAL_IP= eth1 смотрит в сеть с реальными IP > > >iptables -P INPUT DROP >iptables -P FORWARD DROP >iptables -P OUTPUT ACCEPT > >iptables -A INPUT -p ALL -i eth1 -j ACCEPT -p ALL зачем? это "дополнение" не меняет ничего ровным счетом >iptables -A INPUT -i eth1 -s 89.222.114.0/25 -j ACCEPT >iptables -A INPUT -i lo -s 127.0.0.1 -j ACCEPT >iptables -A INPUT -i lo -s $INET_IP -j ACCEPT >iptables -A INPUT -i lo -s $LOCAL_IP -j ACCEPT нафига так сложно? не доверяешь _своей_ таблице маршрутов? имхо iptables -A INPUT -i lo вполне достаточно вместо этих 3х (собсно из-за этого при редиректе может не работать даже если policy=ACCEPT в форварде) >iptables -A INPUT -p ALL -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT Performance hint: эта первой должна быть (при этом протокол и интерфейс можно не указывать) Security hint: а после нее должна быть iptables -A INPUT -m state --state INVALID -j DROP (раз уж ты взялся городить весь этот огород) > >iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT >iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT то же что в инпутах. стэйт вперед, чек на стэйт инвалид сразу после. бтв... в инпутах написаное обозначает, что через eth1 можно достукиваться до сервера и что "обратные потоки" соединений, установленых сервером принимаются с eth0. это не "зеркало" написаного в форварде. т.ч. непонятно просто - ЗАЧЕМ? > >iptables -t nat -A PREROUTING -i eth1 -p TCP --dport 80 -j >REDIRECT --to-port 3128 > [skip ifconfig] >eth0 и eth1 из сетки 89.222.114.0/25 пингуются без проблем... >а вот дальше ни чего не пингуется и соответственно инета у 89.222.114.0/25 >нет :( что значит "нет инета"? кроме 80го порта пробовали ходить чем-нть? > >iptables -P FORWARD ACCEPT  и полное отключение фаервола ни чего не >дает.... проверялось только по 80му или еще как? бтв.. опять же - честные ли это реальные адреса? то есть: маршрут до них прописан ли у провайдера? \^P^/

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Не работает маршрутизация на RH9"
	Сообщение от Rus. on 14-Ноя-06, 18:53
	>>Шлюз на основе RH9 >> >>INET_IP= eth0 смотрит в инет >>LOCAL_IP= eth1 смотрит в сеть с реальными IP >> >> >>iptables -P INPUT DROP >>iptables -P FORWARD DROP >>iptables -P OUTPUT ACCEPT >> >>iptables -A INPUT -p ALL -i eth1 -j ACCEPT >-p ALL зачем? это "дополнение" не меняет ничего ровным счетом >>iptables -A INPUT -i eth1 -s 89.222.114.0/25 -j ACCEPT >>iptables -A INPUT -i lo -s 127.0.0.1 -j ACCEPT >>iptables -A INPUT -i lo -s $INET_IP -j ACCEPT >>iptables -A INPUT -i lo -s $LOCAL_IP -j ACCEPT >нафига так сложно? не доверяешь _своей_ таблице маршрутов? >имхо iptables -A INPUT -i lo вполне достаточно вместо этих 3х >(собсно из-за этого при редиректе может не работать даже если policy=ACCEPT в >форварде) >>iptables -A INPUT -p ALL -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT >Performance hint: эта первой должна быть (при этом протокол и интерфейс можно >не указывать) >Security hint: а после нее должна быть iptables -A INPUT -m state >--state INVALID -j DROP >(раз уж ты взялся городить весь этот огород) >> >>iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT >>iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT >то же что в инпутах. стэйт вперед, чек на стэйт инвалид сразу >после. > >бтв... в инпутах написаное обозначает, что через eth1 можно достукиваться до сервера >и что "обратные потоки" соединений, установленых сервером принимаются с eth0. это >не "зеркало" написаного в форварде. т.ч. непонятно просто - ЗАЧЕМ? да вот вычитал в одной книжке, вот и прописал так..... >> >>iptables -t nat -A PREROUTING -i eth1 -p TCP --dport 80 -j >>REDIRECT --to-port 3128 >> >[skip ifconfig] >>eth0 и eth1 из сетки 89.222.114.0/25 пингуются без проблем... >>а вот дальше ни чего не пингуется и соответственно инета у 89.222.114.0/25 >>нет :( >что значит "нет инета"? кроме 80го порта пробовали ходить чем-нть? >> >>iptables -P FORWARD ACCEPT  и полное отключение фаервола ни чего не >>дает.... >проверялось только по 80му или еще как? проверялось так: на клиенте виндовом делал ping 83.111.111.209   83.111.111.209 это шлюз для eth0(смотрит в инет) шлюз у провайдера и все что дальше не пингуеться... если в свойствах IE прописать адрес прокси (squid стоит на 89.222.114.2:3128 eth1) то все ок по нету лазать можно.... но трасировка до любого адреса в инете из сетки 89.222.114.0/25  не работает > >бтв.. опять же - честные ли это реальные адреса? то есть: маршрут >до них прописан ли у провайдера? провайдер сказал, что да все честно..... и я сам проверял - втыкал провод от провайдера прямо в свич, минуя шлюз - инет есть у всех... > >\^P^/
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Не работает маршрутизация на RH9"
	Сообщение от Rus. on 14-Ноя-06, 18:57
	может это пряснит ситуацию: [root@iserver root]# route -n Kernel IP routing table Destination     Gateway         Genmask         Flags Metric Ref    Use Iface 83.111.111.208  0.0.0.0         255.255.255.240 U     0      0        0 eth0 89.222.114.0    0.0.0.0         255.255.255.128 U     0      0        0 eth1 169.254.0.0     0.0.0.0         255.255.0.0     U     0      0        0 eth1 127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo 0.0.0.0         83.111.111.209  0.0.0.0         UG    0      0        0 eth0
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Не работает маршрутизация на RH9"
	Сообщение от reader on 14-Ноя-06, 20:17
	>>>iptables -t nat -A PREROUTING -i eth1 -p TCP --dport 80 -j >>>REDIRECT --to-port 3128 >>> >>[skip ifconfig] >>>eth0 и eth1 из сетки 89.222.114.0/25 пингуются без проблем... >>>а вот дальше ни чего не пингуется и соответственно инета у 89.222.114.0/25 >>>нет :( >>что значит "нет инета"? кроме 80го порта пробовали ходить чем-нть? >>> >>>iptables -P FORWARD ACCEPT  и полное отключение фаервола ни чего не >>>дает.... >>проверялось только по 80му или еще как? > >проверялось так: >на клиенте виндовом делал ping 83.111.111.209 >83.111.111.209 это шлюз для eth0(смотрит в инет) >шлюз у провайдера и все что дальше не пингуеться... >если в свойствах IE прописать адрес прокси (squid стоит на 89.222.114.2:3128 eth1) >то все ок по нету лазать можно.... > >но трасировка до любого адреса в инете из сетки 89.222.114.0/25  не >работает > ты заворачиваеш все запросы по 80 порту на прокси, а squid настроен на работу в прозрачном режиме? с самого шлюза в инете что-то пингуется?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Не работает маршрутизация на RH9"
	Сообщение от Rus (??) on 14-Ноя-06, 20:46
	> >>>>iptables -t nat -A PREROUTING -i eth1 -p TCP --dport 80 -j >>>>REDIRECT --to-port 3128 >>>> >>>[skip ifconfig] >>>>eth0 и eth1 из сетки 89.222.114.0/25 пингуются без проблем... >>>>а вот дальше ни чего не пингуется и соответственно инета у 89.222.114.0/25 >>>>нет :( >>>что значит "нет инета"? кроме 80го порта пробовали ходить чем-нть? >>>> >>>>iptables -P FORWARD ACCEPT  и полное отключение фаервола ни чего не >>>>дает.... >>>проверялось только по 80му или еще как? >> >>проверялось так: >>на клиенте виндовом делал ping 83.111.111.209 >>83.111.111.209 это шлюз для eth0(смотрит в инет) >>шлюз у провайдера и все что дальше не пингуеться... >>если в свойствах IE прописать адрес прокси (squid стоит на 89.222.114.2:3128 eth1) >>то все ок по нету лазать можно.... >> >>но трасировка до любого адреса в инете из сетки 89.222.114.0/25  не >>работает >> >ты заворачиваеш все запросы по 80 порту на прокси, а squid настроен >на работу в прозрачном режиме? да, настроен. с прокси проблем нету. проблема в трасировке из локалки в инет. > >с самого шлюза в инете что-то пингуется? пингуться все!  и в локалку и в инет. может это со стороны провайдера надо канить роутинг между сетками 83.111.111.0 и 89.222.114.0 настроить? хотя,врятли....
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Не работает маршрутизация на RH9"
	Сообщение от reader on 14-Ноя-06, 21:27
	>проблема в трасировке из локалки в инет. > >> >>с самого шлюза в инете что-то пингуется? > >пингуться все!  и в локалку и в инет. > >может это со стороны провайдера надо канить роутинг между сетками 83.111.111.0 и >89.222.114.0 настроить? > >хотя,врятли.... а если это добавить iptables -t nat -A POSTROUTING -s 89.222.114.0/25 -d ! 89.222.114.0/25 -p tcp -j SNAT --to-source 83.111.111.210
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Не работает маршрутизация на RH9"
	Сообщение от Rus. on 14-Ноя-06, 21:34
	>>проблема в трасировке из локалки в инет. >> >>> >>>с самого шлюза в инете что-то пингуется? >> >>пингуться все!  и в локалку и в инет. >> >>может это со стороны провайдера надо канить роутинг между сетками 83.111.111.0 и >>89.222.114.0 настроить? >> >>хотя,врятли.... > >а если это добавить > >iptables -t nat -A POSTROUTING -s 89.222.114.0/25 -d ! 89.222.114.0/25 -p tcp >-j SNAT --to-source 83.111.111.210 iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 83.111.111.210 добавлял вот это.... имхо, это тоже самое что ты предложил....  впринцепи щас так и работает....  но это не очень хороший способ, т.к. все компы из локалки спрятаны за 83.111.111.210  А мне надо , что б компы были видны под своими IP, с учетом фаервола есевено.... Когда был друго провайдер,  я это все делал.... а сейчас - настройки почти все теже самые  и нифига не работает!
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "Не работает маршрутизация на RH9"
	Сообщение от reader on 14-Ноя-06, 21:37
	>>проблема в трасировке из локалки в инет. >> >>> >>>с самого шлюза в инете что-то пингуется? >> >>пингуться все!  и в локалку и в инет. >> >>может это со стороны провайдера надо канить роутинг между сетками 83.111.111.0 и >>89.222.114.0 настроить? >> >>хотя,врятли.... > >а если это добавить > >iptables -t nat -A POSTROUTING -s 89.222.114.0/25 -d ! 89.222.114.0/25 -p tcp >-j SNAT --to-source 83.111.111.210 точней без -p tcp iptables -t nat -A POSTROUTING -s 89.222.114.0/25 -d ! 89.222.114.0/25 -j SNAT --to-source 83.111.111.210
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "Не работает маршрутизация на RH9"
	Сообщение от Rus. on 14-Ноя-06, 21:55
	>>>проблема в трасировке из локалки в инет. >>> >>>> >>>>с самого шлюза в инете что-то пингуется? >>> >>>пингуться все!  и в локалку и в инет. >>> >>>может это со стороны провайдера надо канить роутинг между сетками 83.111.111.0 и >>>89.222.114.0 настроить? >>> >>>хотя,врятли.... >> >>а если это добавить >> >>iptables -t nat -A POSTROUTING -s 89.222.114.0/25 -d ! 89.222.114.0/25 -p tcp >>-j SNAT --to-source 83.111.111.210 > >точней без -p tcp > >iptables -t nat -A POSTROUTING -s 89.222.114.0/25 -d ! 89.222.114.0/25 -j SNAT >--to-source 83.111.111.210 собственно чего мы это строкой добьемс?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "Не работает маршрутизация на RH9"
	Сообщение от Rus. on 14-Ноя-06, 21:56
	сетка 89.222.114.0/25 бедет выходить в инет как 83.111.111.210  ???? так что ли??? так этього мне совершенно не надо!!!! каждый  комп должен выходить в инет под своим IP
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]