форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Информационная безопасность (Linux iptables, ipchains / Linux)
Изначальное сообщение		[ Отслеживать ]

"Router iptables 1 интернет интерфейс 2 локальных"	+/–
Сообщение от makckc (ok) on 09-Авг-11, 18:51
Есть вопрос? Имеется машина Debian, настроен iptables + squid + htb eth0 смотрит в интернет, eth1 смотрит в локальную сеть шлюзом 192.168.2.100, eth2 смотрит в локальную сеть шлюзом 192.168.2.99 #!/bin/bash # 5.8.11 IPT=/sbin/iptables NETWORK=192.168.2.0/24 $IPT -F $IPT -t nat -F $IPT -P INPUT ACCEPT $IPT -P FORWARD ACCEPT $IPT -P OUTPUT ACCEPT $IPT -A INPUT -i lo -j ACCEPT $IPT -A OUTPUT -o lo -j ACCEPT $IPT -A INPUT ! -i lo -d 127.0.0.0/8 -j REJECT $IPT -A INPUT -p icmp -j ACCEPT #ssh $IPT -A INPUT -p tcp --dport 22 -j ACCEPT # $IPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT $IPT -A FORWARD -m conntrack --ctstate NEW -i eth1 -s $NETWORK -j ACCEPT #Натим и редиректим все запросы идущие к 80ому порту на сквид $IPT -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128 $IPT -t nat -A POSTROUTING -o eth0 -j MASQUERADE #Garena порты Warcraft3 $IPT -A INPUT -i eth2 -p tcp -m multiport --dports 7456,8687 -j ACCEPT $IPT -A INPUT -i eth2 -p udp -m multiport --dports 1513 -j ACCEPT $IPT -A INPUT -i eth1 -p tcp --dport 53 -j ACCEPT $IPT -A INPUT -i eth1 -p udp --dport 53 -j ACCEPT $IPT -A INPUT -i eth2 -p tcp --dport 53 -j ACCEPT $IPT -A INPUT -i eth2 -p udp --dport 53 -j ACCEPT $IPT -A INPUT -i eth2 -j REJECT Вобщем на eth1-192.168.2.100 открыто все, полноценный интернет, на eth2-192.168.2.99 открыты только порты для игр Warcraft 3 Garena интернет на нем не работает, проблема в том что когда я переключаю шлюз с 192.168.2.100-eth1 на 192.168.2.99-eth2 у меня остаются подключения на eth1 они не сбрасываются на 192.168.2.99-eth2 и продолжает работать интернет и используется шлюз 192.168.2.100, подскажите как победить этот недуг в линуксе впервые
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Router iptables 1 интернет интерфейс 2 локальных"	+/–
Сообщение от reader (ok) on 09-Авг-11, 21:10
>[оверквотинг удален] > ACCEPT > $IPT -A INPUT -i eth1 -p tcp --dport 53 -j ACCEPT > $IPT -A INPUT -i eth1 -p udp --dport 53 -j ACCEPT > $IPT -A INPUT -i eth2 -p tcp --dport 53 -j ACCEPT > $IPT -A INPUT -i eth2 -p udp --dport 53 -j ACCEPT > $IPT -A INPUT -i eth2 -j REJECT > Вобщем на eth1-192.168.2.100 открыто все, полноценный интернет, на eth2-192.168.2.99 > открыты только порты для игр Warcraft 3 Garena интернет на нем > не работает, проблема в том что когда я переключаю шлюз с > 192.168.2.100-eth1 на 192.168.2.99-eth2 у меня остаются подключения на eth1 они не так где вы это переключаете? у клиента изменяете? > сбрасываются на 192.168.2.99-eth2 и продолжает работать интернет и используется шлюз 192.168.2.100, > подскажите как победить этот недуг в линуксе впервые тут, по моему, не про линукс, а про tcp протокол
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Router iptables 1 интернет интерфейс 2 локальных"	+/–
	Сообщение от makckc (ok) on 09-Авг-11, 23:29
	>[оверквотинг удален] >> $IPT -A INPUT -i eth2 -p udp --dport 53 -j ACCEPT >> $IPT -A INPUT -i eth2 -j REJECT >> Вобщем на eth1-192.168.2.100 открыто все, полноценный интернет, на eth2-192.168.2.99 >> открыты только порты для игр Warcraft 3 Garena интернет на нем >> не работает, проблема в том что когда я переключаю шлюз с >> 192.168.2.100-eth1 на 192.168.2.99-eth2 у меня остаются подключения на eth1 они не > так где вы это переключаете? у клиента изменяете? >> сбрасываются на 192.168.2.99-eth2 и продолжает работать интернет и используется шлюз 192.168.2.100, >> подскажите как победить этот недуг в линуксе впервые > тут, по моему, не про линукс, а про tcp протокол Зарасти, если реализовываешь на линуксе, это разве не про него ?
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Router iptables 1 интернет интерфейс 2 локальных"	+/–
	Сообщение от makckc (ok) on 09-Авг-11, 23:33
	>[оверквотинг удален] >>> $IPT -A INPUT -i eth2 -j REJECT >>> Вобщем на eth1-192.168.2.100 открыто все, полноценный интернет, на eth2-192.168.2.99 >>> открыты только порты для игр Warcraft 3 Garena интернет на нем >>> не работает, проблема в том что когда я переключаю шлюз с >>> 192.168.2.100-eth1 на 192.168.2.99-eth2 у меня остаются подключения на eth1 они не >> так где вы это переключаете? у клиента изменяете? >>> сбрасываются на 192.168.2.99-eth2 и продолжает работать интернет и используется шлюз 192.168.2.100, >>> подскажите как победить этот недуг в линуксе впервые >> тут, по моему, не про линукс, а про tcp протокол > Зарасти, если реализовываешь на линуксе, это разве не про него ? Причем тут протокол? почитаете изложенное выше
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	6. "Router iptables 1 интернет интерфейс 2 локальных"	+/–
	Сообщение от reader (ok) on 10-Авг-11, 10:35
	>[оверквотинг удален] >>>> $IPT -A INPUT -i eth2 -j REJECT >>>> Вобщем на eth1-192.168.2.100 открыто все, полноценный интернет, на eth2-192.168.2.99 >>>> открыты только порты для игр Warcraft 3 Garena интернет на нем >>>> не работает, проблема в том что когда я переключаю шлюз с >>>> 192.168.2.100-eth1 на 192.168.2.99-eth2 у меня остаются подключения на eth1 они не >>> так где вы это переключаете? у клиента изменяете? >>>> сбрасываются на 192.168.2.99-eth2 и продолжает работать интернет и используется шлюз 192.168.2.100, >>>> подскажите как победить этот недуг в линуксе впервые >>> тут, по моему, не про линукс, а про tcp протокол >> Зарасти, если реализовываешь на линуксе, это разве не про него ? Причем тут протокол? почитаете изложенное выше если вы меняете таблицу маршрутизации, то реакция на это у разных OS будет одинаковая. честно, читал, но нифига не понял.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	4. "Router iptables 1 интернет интерфейс 2 локальных"	+/–
	Сообщение от makckc (ok) on 09-Авг-11, 23:37
	>[оверквотинг удален] >> $IPT -A INPUT -i eth1 -p udp --dport 53 -j ACCEPT >> $IPT -A INPUT -i eth2 -p tcp --dport 53 -j ACCEPT >> $IPT -A INPUT -i eth2 -p udp --dport 53 -j ACCEPT >> $IPT -A INPUT -i eth2 -j REJECT >> Вобщем на eth1-192.168.2.100 открыто все, полноценный интернет, на eth2-192.168.2.99 >> открыты только порты для игр Warcraft 3 Garena интернет на нем >> не работает, проблема в том что когда я переключаю шлюз с >> 192.168.2.100-eth1 на 192.168.2.99-eth2 у меня остаются подключения на eth1 они не > так где вы это переключаете? у клиента изменяете? >> сбрасываются на 192.168.2.99-eth2 и продолжает работать интернет и используется шлюз 192.168.2.100, именно у меня нет клуб, стои крав 100 интернет тариф, 99 только онлайн без интернета только игры
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	5. "Router iptables 1 интернет интерфейс 2 локальных"	+/–
	Сообщение от makckc (ok) on 10-Авг-11, 00:02
	>[оверквотинг удален] >>> $IPT -A INPUT -i eth1 -p udp --dport 53 -j ACCEPT >>> $IPT -A INPUT -i eth2 -p tcp --dport 53 -j ACCEPT >>> $IPT -A INPUT -i eth2 -p udp --dport 53 -j ACCEPT >>> $IPT -A INPUT -i eth2 -j REJECT >>> Вобщем на eth1-192.168.2.100 открыто все, полноценный интернет, на eth2-192.168.2.99 >>> открыты только порты для игр Warcraft 3 Garena интернет на нем >>> не работает, проблема в том что когда я переключаю шлюз с >>> 192.168.2.100-eth1 на 192.168.2.99-eth2 у меня остаются подключения на eth1 они не >> так где вы это переключаете? у клиента изменяете? >>> сбрасываются на 192.168.2.99-eth2 и продолжает работать интернет и используется шлюз 192.168.2.100, Ну и если раскладывать по логике, то нужно что бы клиент который обращался на шлюз 192.168.2.100-eth1 от туда и получал по правилу роутера, соответственно если запрос идет с 192.168.2.99-eth2 по правилу eth2 то правила соблюдались соответственно...
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	7. "Router iptables 1 интернет интерфейс 2 локальных"	+/–
	Сообщение от reader (ok) on 10-Авг-11, 10:38
	>[оверквотинг удален] >>>> Вобщем на eth1-192.168.2.100 открыто все, полноценный интернет, на eth2-192.168.2.99 >>>> открыты только порты для игр Warcraft 3 Garena интернет на нем >>>> не работает, проблема в том что когда я переключаю шлюз с >>>> 192.168.2.100-eth1 на 192.168.2.99-eth2 у меня остаются подключения на eth1 они не >>> так где вы это переключаете? у клиента изменяете? >>>> сбрасываются на 192.168.2.99-eth2 и продолжает работать интернет и используется шлюз 192.168.2.100, > Ну и если раскладывать по логике, то нужно что бы клиент который > обращался на шлюз 192.168.2.100-eth1 от туда и получал по правилу роутера, > соответственно если запрос идет с 192.168.2.99-eth2 по правилу eth2 то правила > соблюдались соответственно... если не можете по человечески объяснить что делаете, то показывайте какие команда на каких машинах даете 1 у вас разрешен весь FORWARD 2 по моему в таблице состояния учитываются ip и порты, а интерфейс нет
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	8. "Router iptables 1 интернет интерфейс 2 локальных"	+/–
	Сообщение от makckc (ok) on 10-Авг-11, 11:08
	>[оверквотинг удален] >>>>> не работает, проблема в том что когда я переключаю шлюз с >>>>> 192.168.2.100-eth1 на 192.168.2.99-eth2 у меня остаются подключения на eth1 они не >>>> так где вы это переключаете? у клиента изменяете? >>>>> сбрасываются на 192.168.2.99-eth2 и продолжает работать интернет и используется шлюз 192.168.2.100, >> Ну и если раскладывать по логике, то нужно что бы клиент который >> обращался на шлюз 192.168.2.100-eth1 от туда и получал по правилу роутера, >> соответственно если запрос идет с 192.168.2.99-eth2 по правилу eth2 то правила >> соблюдались соответственно... > если не можете по человечески объяснить что делаете, то показывайте какие команда > на каких машинах даете Да я вроде как объяснил, мне нужно что бы трафик лился с одной машины в сеть 192,168,2,0, по разным шлюзам, например машин 10 с диапазоном IP 192,168,2,1-192,168,2,10 не важно как они там переключают шлюзы у себя на машинах, просто вручную! когда я обращаюсь на 192,168,2,100 где все открыто интернет бегает, это нормально но, когда я меняю шлюз на 192,168,2,99, у меня трафик не бегает через 192,168,2,99! может и бегает через него, но правила не работают для 192,168,2,99 я как будто остаюсь на 192,168,2,100, роутер
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	11. "Router iptables 1 интернет интерфейс 2 локальных"	+/–
	Сообщение от reader (ok) on 10-Авг-11, 11:43
	>[оверквотинг удален] >> если не можете по человечески объяснить что делаете, то показывайте какие команда >> на каких машинах даете > Да я вроде как объяснил, мне нужно что бы трафик лился с > одной машины в сеть 192,168,2,0, по разным шлюзам, например машин 10 > с диапазоном IP 192,168,2,1-192,168,2,10 не важно как они там переключают шлюзы > у себя на машинах, просто вручную! когда я обращаюсь на 192,168,2,100 > где все открыто интернет бегает, это нормально но, когда я меняю > шлюз на 192,168,2,99, у меня трафик не бегает через 192,168,2,99! может > и бегает через него, но правила не работают для 192,168,2,99 я > как будто остаюсь на 192,168,2,100, роутер обращаться на 192.168.2.99 и идти в инет через 192.168.2.99 для iptables не одно и тоже, в первом случае используется INPUN, во втором FORWARD. FORWARD у вас весь разрешен, соответственно при смене ip шлюза у клиента, если интерфейс в таблице состояния не учитывается, то даже ссесия не будет прервана на шлюзе. если же учитывается то клиент востановит соединение через новый ip шлюза, вы вить ему это не запретили. так что пишите правила в FORWARD.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	9. "Router iptables 1 интернет интерфейс 2 локальных"	+/–
	Сообщение от makckc (ok) on 10-Авг-11, 11:13
	>[оверквотинг удален] >>>>> сбрасываются на 192.168.2.99-eth2 и продолжает работать интернет и используется шлюз 192.168.2.100, >> Ну и если раскладывать по логике, то нужно что бы клиент который >> обращался на шлюз 192.168.2.100-eth1 от туда и получал по правилу роутера, >> соответственно если запрос идет с 192.168.2.99-eth2 по правилу eth2 то правила >> соблюдались соответственно... > если не можете по человечески объяснить что делаете, то показывайте какие команда > на каких машинах даете > 1 у вас разрешен весь FORWARD > 2 по моему в таблице состояния учитываются ip и порты, а интерфейс > нет Я уже перечитал все что есть, в интернете даже намека на мою ситуацию нет > 2 по моему в таблице состояния учитываются ip и порты, а интерфейс > нет мне тоже так кажется
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	10. "Router iptables 1 интернет интерфейс 2 локальных"	+/–
	Сообщение от makckc (ok) on 10-Авг-11, 11:32
	>[оверквотинг удален] >> если не можете по человечески объяснить что делаете, то показывайте какие команда >> на каких машинах даете >> 1 у вас разрешен весь FORWARD >> 2 по моему в таблице состояния учитываются ip и порты, а интерфейс >> нет > Я уже перечитал все что есть, в интернете даже намека на мою > ситуацию нет >> 2 по моему в таблице состояния учитываются ip и порты, а интерфейс >> нет > мне тоже так кажется У вас есть icq??? пообщаться непосредственно! а готовое решение я выложу тут, в помощь в не легком деле
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	12. "Router iptables 1 интернет интерфейс 2 локальных"	+/–
	Сообщение от reader (ok) on 10-Авг-11, 11:48
	>[оверквотинг удален] >>> 1 у вас разрешен весь FORWARD >>> 2 по моему в таблице состояния учитываются ip и порты, а интерфейс >>> нет >> Я уже перечитал все что есть, в интернете даже намека на мою >> ситуацию нет >>> 2 по моему в таблице состояния учитываются ip и порты, а интерфейс >>> нет >> мне тоже так кажется > У вас есть icq??? пообщаться непосредственно! а готовое решение я выложу тут, > в помощь в не легком деле 226592930
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема