Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Linux и FreeBSD » Общий по Linux » Прочее - Правильная настройка iptables

Ответить
Настройки темы
Прочее - Правильная настройка iptables

Аватара для NickM

Ветеран


Contributor


Сообщения: 4441
Благодарности: 1050


Конфигурация

Профиль | Отправить PM | Цитировать


Уважаемые, приветствую!

Что-то не могу осилить настройку iptables для следующей задачи

Задача состоит в том, что бы переложить раздачу IP на eth2 самим сервером, а не роутером, т.к. на роутере DHCP отсутствует, и что бы клиенты 192.168.1.х выходили в сеть под Своим IP.

Дано:
- 3 сетевых;
- DHCP, SAMBA-DC с внутренним DNS на сервере;
- eth0: IP сетевой - 192.168.1.2, к сетевой подключён роутер с IP 192.168.1.1 и обеспечивает выход в сеть Интернет;
- eth1: IP сетевой - 192.168.10.1, маскарадинг для клиентов с выходом в сеть Интернет и на сетевой работает DHCP ;
- eth2: IP сетевой - 192.168.1.3, здесь предполагается раздача адресов для клиентов с помощью DHCP сервера из 192.168.1.х сети;

Сейчас имеется доступ к сети Интернет у клиентов 192.168.10.х, т.к. настроен маскарадинг на сервере.

У клиентов 192.168.1.х никакого доступа сейчас нет , но IP от DHCP получают исправно.

В данный момент правила такие-простые:
Скрытый текст
Код: Выделить весь код
iptables-save
# Generated by iptables-save v1.8.7 on Wed Dec  6 11:15:33 2023
*mangle
:PREROUTING ACCEPT [675:43736]
:INPUT ACCEPT [609:39365]
:FORWARD ACCEPT [46:2124]
:OUTPUT ACCEPT [744:93924]
:POSTROUTING ACCEPT [788:95912]
COMMIT
# Completed on Wed Dec  6 11:15:33 2023
# Generated by iptables-save v1.8.7 on Wed Dec  6 11:15:33 2023
*nat
:PREROUTING ACCEPT [35:3163]
:INPUT ACCEPT [12:752]
:OUTPUT ACCEPT [53:3988]
:POSTROUTING ACCEPT [44:3387]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Wed Dec  6 11:15:33 2023
# Generated by iptables-save v1.8.7 on Wed Dec  6 11:15:33 2023
*filter
:INPUT ACCEPT [68:5048]
:FORWARD ACCEPT [5:268]
:OUTPUT ACCEPT [54:4039]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -f -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -f -j DROP
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -f -j DROP
COMMIT

Отправлено: 09:44, 06-12-2023

 

Ветеран


Сообщения: 2712
Благодарности: 252

Профиль | Отправить PM | Цитировать


Цитата dmitryst:
все клиенты будут получать адрес из нужного диапазона, точнее, два адреса типа 192.168.1.4 и 192.168.1.5. »
как это, каждый клиент по 2 ипа? А по какому он будет отвечать?

-------
Оснащение дурдомов компьютерами идёт полным ходом.
Об этом можно судить по комментариям в интернете.


Отправлено: 15:30, 08-12-2023 | #11



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для dmitryst

Ветеран


Сообщения: 7224
Благодарности: 899

Профиль | Отправить PM | Цитировать


bredych, нет, из первой подсети все клиенты будут получать адрес для ната 192.168.1.4, из второй- соотв, 192.168.1.5. Т. е один адрес для натирования всех в первой подсети, второй - для второй. Бред, конечно, но уж что есть

-------
Осваиваю FreeBSD


Отправлено: 17:59, 08-12-2023 | #12


Ветеран


Сообщения: 2712
Благодарности: 252

Профиль | Отправить PM | Цитировать


наверно я жутко туплю, но..
интерфейс физически у каждого клиента ведь один - сетевушка встроенная. И кабель тот же самый, в неё вставленный.
А как на одном физическом повесить 2 виртуальных с разными ипами, и чтоб еще комп знал, кому что отвечать.. Ну, допустим, на каждом еще править роутинговую таблицу.. хоть тогда зачем вообще dhcp..
что-то туплю я.. можно как в школе логику пояснить? Для системности понимания

-------
Оснащение дурдомов компьютерами идёт полным ходом.
Об этом можно судить по комментариям в интернете.


Отправлено: 01:28, 11-12-2023 | #13


Аватара для dmitryst

Ветеран


Сообщения: 7224
Благодарности: 899

Профиль | Отправить PM | Цитировать


bredych, на "сервере" 3 (три!) сетевых, каждая со своим диапазоном адресов (непересекающихся)
  1. рутер и его подсеть 192,168,1,0/24
  2. сеть клиентов №1 (НАТится вся сеть в один адрес 192,168,1,100 например)
  3. сеть клиентов №2 (НАТится вся сеть в один адрес 192,168,1,200 например)
Как-то так...

-------
Осваиваю FreeBSD


Отправлено: 08:24, 11-12-2023 | #14


Ветеран


Сообщения: 2712
Благодарности: 252

Профиль | Отправить PM | Цитировать


Цитата dmitryst:
на "сервере" 3 (три!) сетевых, »
но клиенты из сети 2 и сети 3 - это НЕ одни и те же физические машины? Они висят на разных физически кабелях и т.д.?
или я туплю опять?

-------
Оснащение дурдомов компьютерами идёт полным ходом.
Об этом можно судить по комментариям в интернете.


Отправлено: 18:34, 11-12-2023 | #15


Аватара для dmitryst

Ветеран


Сообщения: 7224
Благодарности: 899

Профиль | Отправить PM | Цитировать


Цитата bredych:
клиенты из сети 2 и сети 3 - это НЕ одни и те же физические машины? Они висят на разных физически кабелях и т.д.? »
вроде как. Но лучше уточнить у NickM, мало ли.

-------
Осваиваю FreeBSD


Отправлено: 20:56, 11-12-2023 | #16


Аватара для NickM

Ветеран


Contributor


Сообщения: 4441
Благодарности: 1050

Профиль | Отправить PM | Цитировать


Цитата bredych:
но клиенты из сети 2 и сети 3 - это НЕ одни и те же физические машины? »
Нет, это разные сети и клиенты:
Цитата NickM:
- eth1: IP сетевой - 192.168.10.1, маскарадинг для клиентов с выходом в сеть Интернет и на сетевой работает DHCP ;
- eth2: IP сетевой - 192.168.1.3, здесь предполагается раздача адресов для клиентов с помощью DHCP сервера из 192.168.1.х сети; »
Цитата dmitryst:
лучше уточнить у NickM »
Цитата NickM:
Количество IP в сети 192.168.1.х ограничено, поэтому часть клиентов прячем за NAT (это 192.168.10.х), а часть оставляем с адресами сети роутера (это 192.168.1.х). »
Это разные сети= разные физические машины;

Цитата dmitryst:
сеть с NAT 1 - 10.10.10.0/24 - eth1
сеть с NAT 2 - 10.10.20.0/24 - eth2 »
NAT не нужен, т.к.:
Цитата NickM:
выход каждого АРМ под IP из выданного диапазона. »
Сейчас сижу думаю, что iptables вообще может оказаться здесь лишним, и возможно, следует обойтись созданием постоянного маршрута.

Да, вопрос пока открытый, задачу так и не решил.

Отправлено: 06:18, 12-12-2023 | #17


Аватара для shisik

Ветеран


Сообщения: 3261
Благодарности: 597

Профиль | Отправить PM | Цитировать


NickM, я не понял чего вы вообще добиваетесь. Из вашего описания

Цитата NickM:
- eth1: IP сетевой - 192.168.10.1, маскарадинг для клиентов с выходом в сеть Интернет и на сетевой работает DHCP ;
- eth2: IP сетевой - 192.168.1.3, здесь предполагается раздача адресов для клиентов с помощью DHCP сервера из 192.168.1.х сети; »
следует, что задача уже и так выполнена

Цитата NickM:
Сейчас имеется доступ к сети Интернет у клиентов 192.168.10.х, т.к. настроен маскарадинг на сервере.
У клиентов 192.168.1.х никакого доступа сейчас нет , но IP от DHCP получают исправно. »
Потому что про доступ в Интернет вы упоминаете только в 192.168.10.х, а в 192.168.1.х его выходит и не должно быть. Иначе почему это требование упоминается только в 1 подсети? Сформулируйте задачу полностью и может быть выяснится, что вам вообще не нужны 2 подсети. Ну или обоснуйте необходимость этого. Я пока не понимаею чего вам нужно, может это вообще типичная XY

Отправлено: 07:02, 12-12-2023 | #18


Аватара для NickM

Ветеран


Contributor


Сообщения: 4441
Благодарности: 1050

Профиль | Отправить PM | Цитировать


Цитата shisik:
Потому что про доступ в Интернет вы упоминаете только в 192.168.10.х, а в 192.168.1.х его выходит и не должно быть »
Цитата NickM:
и что бы клиенты 192.168.1.х выходили в сеть под Своим IP. »
Цитата shisik:
Я пока не понимаею чего вам нужно »
Цитата NickM:
Задача состоит в том, что бы переложить раздачу IP на eth2 самим сервером, а не роутером, т.к. на роутере DHCP отсутствует, и что бы клиенты 192.168.1.х выходили в сеть под Своим IP. »
Что именно не понятно?

Раздать IP и предоставить выход в сеть Интернет, NAT не использовать.

Отправлено: 07:29, 12-12-2023 | #19


Аватара для NickM

Ветеран


Contributor


Сообщения: 4441
Благодарности: 1050

Профиль | Отправить PM | Цитировать


Раз третья сетевая и NAT вносят сумятицу, давайте избавимся от них:
Дано:
- 2 сетевых;
- DHCP, SAMBA-DC с внутренним DNS на сервере;
- eth0: IP сетевой - 192.168.1.2, к сетевой подключён роутер с IP 192.168.1.1 и обеспечивает выход в сеть Интернет;
- eth2: IP сетевой - 192.168.1.3, здесь предполагается раздача адресов для клиентов с помощью DHCP сервера из 192.168.1.х сети;

Задача состоит в том, что бы переложить раздачу IP на eth2 самим сервером, а не роутером, т.к. на роутере DHCP отсутствует, и чтобы клиенты 192.168.1.х выходили в сеть Интернет под своим IP.

Перепробовав кучу настроек, Я уже запутался, вопросы:
- какой IP будет шлюзом для клиентов 192.168.1.х сети;
- просматривая с помощью tcpdump те или иные интерфейсы на сервере, Я, например, вижу, что диагностические пакеты приходят, но ответов клиент не получает.

Легкая с виду задача сломала мозг. Понятно, что знаний в теме абсолютно не хватает, точнее их ноль.

В данный момент правила такие:
Скрытый текст
Код: Выделить весь код
iptables-save
# Generated by iptables-save v1.8.7 on Wed Dec  6 11:15:33 2023
*mangle
:PREROUTING ACCEPT [675:43736]
:INPUT ACCEPT [609:39365]
:FORWARD ACCEPT [46:2124]
:OUTPUT ACCEPT [744:93924]
:POSTROUTING ACCEPT [788:95912]
COMMIT
# Completed on Wed Dec  6 11:15:33 2023
# Generated by iptables-save v1.8.7 on Wed Dec  6 11:15:33 2023
*nat
:PREROUTING ACCEPT [35:3163]
:INPUT ACCEPT [12:752]
:OUTPUT ACCEPT [53:3988]
:POSTROUTING ACCEPT [44:3387]
COMMIT
# Completed on Wed Dec  6 11:15:33 2023
# Generated by iptables-save v1.8.7 on Wed Dec  6 11:15:33 2023
*filter
:INPUT ACCEPT [68:5048]
:FORWARD ACCEPT [5:268]
:OUTPUT ACCEPT [54:4039]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -f -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -f -j DROP
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -f -j DROP
COMMIT

Отправлено: 08:10, 12-12-2023 | #20



Компьютерный форум OSzone.net » Linux и FreeBSD » Общий по Linux » Прочее - Правильная настройка iptables

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
DNS/DHCP - Правильная настройка DNS Patjomkin Сетевые технологии 1 23-12-2011 01:32
Правильная настройка Asus+Kingston Trapdor Материнские платы и память 8 29-10-2011 19:55
Route/Bridge - Роутинг и правильная настройка wdg Сетевые технологии 8 19-03-2010 13:16
Правильная настройка цвета в CorelDRAW 12 Guest Вебмастеру 3 07-02-2005 03:39
Правильная настройка Activ Directory Teoretik Сетевые технологии 5 04-01-2005 16:18




 
Переход