форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"iproute+iptables"

Сообщение от Espeto on 03-Июл-07, 18:48

У меня следующая проблема. Есть сервер с двумя интерфейсами. Одним смотрит в мир другим в локальную сетку. server:/etc/ferm# ip route list table main 222.111.22.44/30 dev eth0.3  proto kernel  scope link  src 217.119.24.46 10.0.8.0/24 dev eth0.11  proto kernel  scope link  src 10.0.8.1 default via 222.111.22.45 dev eth0.3 сервер сам ходит в инет без проблем. Но вот машинки из локалки ну никак этого делать не отят. На сервере стоит iptables и ferm 1.2. Настроен NAT: table filter {     chain INPUT {         policy DROP;         # connection tracking         mod state state INVALID DROP;         mod state state (ESTABLISHED RELATED) ACCEPT;         # allow local packages         interface lo ACCEPT;         # respond to ping, but limit that         proto icmp ACCEPT;         # allow IPsec         proto udp dport 500 ACCEPT;         proto (esp ah) ACCEPT;         # allow SSH connections         proto tcp dport ssh ACCEPT;     }     chain OUTPUT {         policy ACCEPT;         # connection tracking         #mod state state INVALID DROP;         mod state state (ESTABLISHED RELATED) ACCEPT;     }     chain FORWARD {         policy DROP;         # connection tracking         mod state state INVALID DROP;         mod state state (ESTABLISHED RELATED) ACCEPT;     } } table nat {     chain POSTROUTING {             policy ACCEPT;             # masquerade private IP addresses             saddr 10.0.8.0/16 outerface eth0.3 SNAT to 222.111.22.46;     } } Подскажите плиз что не так?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени, UBB]

1. "iproute+iptables"

Сообщение от s_dog (??) on 03-Июл-07, 20:21

eth0.3 eth0.11 говорит о том что используется один интерфейс, а .3 и .11 либо алиасы, либо вланы покажи iptables -nvL

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "iproute+iptables"
	Сообщение от Vaso Petrovich on 03-Июл-07, 21:40
	ну iproute для этой задачи совсем не нужен, а вот форвардинг в ядре наверняка вырублен...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "iproute+iptables"
	Сообщение от espeto on 04-Июл-07, 09:08
	>eth0.3 eth0.11 говорит о том что используется один интерфейс, а .3 и >.11 либо алиасы, либо вланы >покажи >iptables -nvL :~# iptables -nvL Chain INPUT (policy DROP 10450 packets, 1778K bytes) pkts bytes target     prot opt in     out     source               destination     0     0 DROP       0    --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALID 2789  295K ACCEPT     0    --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED     0     0 ACCEPT     0    --  lo     *       0.0.0.0/0            0.0.0.0/0      38  2293 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0           icmp type 255     0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0           udp dpt:500     0     0 ACCEPT     esp  --  *      *       0.0.0.0/0            0.0.0.0/0       0     0 ACCEPT     ah   --  *      *       0.0.0.0/0            0.0.0.0/0      11   648 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:22 Chain FORWARD (policy DROP 0 packets, 0 bytes) pkts bytes target     prot opt in     out     source               destination     0     0 DROP       0    --  *      *       0.0.0.0/0            0.0.0.0/0           state INVALID     0     0 ACCEPT     0    --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED Chain OUTPUT (policy ACCEPT 1710 packets, 113K bytes) pkts bytes target     prot opt in     out     source               destination 2795  232K ACCEPT     0    --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED получается, что цепочка прероутинга не подключена?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "iproute+iptables"
	Сообщение от Oyyo on 04-Июл-07, 10:04
	cat /proc/sys/net/ipv4/ip_forward iptables -t nat -L -vn в студию
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "iproute+iptables"
	Сообщение от Espeto on 04-Июл-07, 10:47
	>cat /proc/sys/net/ipv4/ip_forward >iptables -t nat -L -vn > >в студию # cat /proc/sys/net/ipv4/ip_forward 1 # cat /etc/sysctl.conf net/ipv4/ip_forward=1 # iptables -t nat -L -vn Chain PREROUTING (policy ACCEPT 55 packets, 8970 bytes) pkts bytes target     prot opt in     out     source               destination         Chain POSTROUTING (policy ACCEPT 11 packets, 684 bytes) pkts bytes target     prot opt in     out     source               destination             0     0 SNAT       0    --  *      eth0.3  10.0.0.0/16           0.0.0.0/0           to:222.111.22.46 Chain OUTPUT (policy ACCEPT 11 packets, 684 bytes) pkts bytes target     prot opt in     out     source               destination
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "iproute+iptables"
	Сообщение от Oyyo on 04-Июл-07, 11:43
	у тебя запрещено на файерволе движение да внутренней подсети, на ответы на неё почему-то разрешены, странно всё остальное в норме выполни команду iptables -A FORWARD -j ACCEPT -s 10.0.0.0/16
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "iproute+iptables"
	Сообщение от Espeto (ok) on 04-Июл-07, 11:58
	>у тебя запрещено на файерволе движение да внутренней подсети, на ответы на >неё почему-то разрешены, странно >всё остальное в норме >выполни команду > >iptables -A FORWARD -j ACCEPT -s 10.0.0.0/16 Спасибо, заработало! А это правило можно в ферме описать?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "iproute+iptables"
	Сообщение от Oyyo on 04-Июл-07, 15:50
	>>у тебя запрещено на файерволе движение да внутренней подсети, на ответы на >>неё почему-то разрешены, странно >>всё остальное в норме >>выполни команду >> >>iptables -A FORWARD -j ACCEPT -s 10.0.0.0/16 > >Спасибо, заработало! >А это правило можно в ферме описать? я с ferm 1.2 не работал и как он завязан на iptables не занаю. iptables при старте смотрит в файл /etc/sysconfig/iptables и если такой есть, берёт от туда правила, вот пример # Generated by iptables-save v1.3.3 on Sat Oct 21 07:36:49 2006 *nat :PREROUTING ACCEPT [164:10466] :POSTROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A POSTROUTING -o eth0 -j MASQUERADE COMMIT *mangle :PREROUTING ACCEPT [0:65535] :POSTROUTING ACCEPT [0:65535] :INPUT ACCEPT [0:65535] :FORWARD ACCEPT [0:65535] :OUTPUT ACCEPT [0:65535] -A POSTROUTING -o eth0 -j TOS --set-tos 16 COMMIT *filter :INPUT DROP [19:65535] :FORWARD DROP [9:65535] :OUTPUT ACCEPT [1:65500] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p tcp --dport 53 -j ACCEPT -A INPUT -p udp --dport 53 -j ACCEPT -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -s 10.112.112.0/24 -j ACCEPT -A FORWARD  -d 10.112.112.1 -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -s 10.112.112.1 -m mac --mac-source 00:50:BF:5D:98:CF -j ACCEPT -A FORWARD -i eth0 -o eth1 -j ACCEPT -A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT COMMIT # Completed on Sat Oct 21 07:36:49 2006
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "iproute+iptables"

Сообщение от Anton_K (??) on 04-Июл-07, 09:35

ipforward включен?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]