Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Linux и FreeBSD » Общий по Linux » Прочее - Правильная настройка iptables

Ответить
Настройки темы
Прочее - Правильная настройка iptables

Аватара для NickM

Ветеран


Contributor


Сообщения: 4418
Благодарности: 1041


Конфигурация

Профиль | Отправить PM | Цитировать


Уважаемые, приветствую!

Что-то не могу осилить настройку iptables для следующей задачи

Задача состоит в том, что бы переложить раздачу IP на eth2 самим сервером, а не роутером, т.к. на роутере DHCP отсутствует, и что бы клиенты 192.168.1.х выходили в сеть под Своим IP.

Дано:
- 3 сетевых;
- DHCP, SAMBA-DC с внутренним DNS на сервере;
- eth0: IP сетевой - 192.168.1.2, к сетевой подключён роутер с IP 192.168.1.1 и обеспечивает выход в сеть Интернет;
- eth1: IP сетевой - 192.168.10.1, маскарадинг для клиентов с выходом в сеть Интернет и на сетевой работает DHCP ;
- eth2: IP сетевой - 192.168.1.3, здесь предполагается раздача адресов для клиентов с помощью DHCP сервера из 192.168.1.х сети;

Сейчас имеется доступ к сети Интернет у клиентов 192.168.10.х, т.к. настроен маскарадинг на сервере.

У клиентов 192.168.1.х никакого доступа сейчас нет , но IP от DHCP получают исправно.

В данный момент правила такие-простые:
Скрытый текст
Код: Выделить весь код
iptables-save
# Generated by iptables-save v1.8.7 on Wed Dec  6 11:15:33 2023
*mangle
:PREROUTING ACCEPT [675:43736]
:INPUT ACCEPT [609:39365]
:FORWARD ACCEPT [46:2124]
:OUTPUT ACCEPT [744:93924]
:POSTROUTING ACCEPT [788:95912]
COMMIT
# Completed on Wed Dec  6 11:15:33 2023
# Generated by iptables-save v1.8.7 on Wed Dec  6 11:15:33 2023
*nat
:PREROUTING ACCEPT [35:3163]
:INPUT ACCEPT [12:752]
:OUTPUT ACCEPT [53:3988]
:POSTROUTING ACCEPT [44:3387]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Wed Dec  6 11:15:33 2023
# Generated by iptables-save v1.8.7 on Wed Dec  6 11:15:33 2023
*filter
:INPUT ACCEPT [68:5048]
:FORWARD ACCEPT [5:268]
:OUTPUT ACCEPT [54:4039]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -f -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -f -j DROP
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -f -j DROP
COMMIT

Отправлено: 09:44, 06-12-2023

 

Аватара для shisik

Ветеран


Сообщения: 3261
Благодарности: 597

Профиль | Отправить PM | Цитировать


Цитата NickM:
и чтобы клиенты 192.168.1.х выходили в сеть Интернет под своим IP »
В смысле под своим IP? Чтоб их адреса в глобальной сети были 192.168.1.х? Это невозможно. Вообще.

Цитата NickM:
NAT не использовать »
И как вы это себе представляете? У вас есть сервер, у него есть внешний адрес и внутренняя подсеть. Чтоб раздать доступ внутренним клиентам - нужен NAT. А как иначе?

Отправлено: 16:38, 12-12-2023 | #21



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для NickM

Ветеран


Contributor


Сообщения: 4418
Благодарности: 1041

Профиль | Отправить PM | Цитировать


Цитата shisik:
В смысле под своим IP? »
В том смысле, что они получили IP из 192.168.1.х сети и с этими адресами дошли до роутера, а не спрятались за внешний IP сервера (т.е. IP сервером не меняется и клиентов сервер за себя не прячет, как того делает правило POSTROUTING -o eth0 -j MASQUERADE);

Цитата shisik:
И как вы это себе представляете? У вас есть сервер, у него есть внешний адрес и внутренняя подсеть. »
Не нужна внутренняя подсеть, ничего за сервер прятать не надо, клиенты должны ходить к шлюзу-роутеру с IP 192.168.1.1 под своими адресами из сети 192.168.1.х.

Представляю ровно так как и написал в начальном посте: сервер раздаёт адреса и перенаправляет через Себя трафик клиентов 192.168.1.х подсети до роутера 192.168.1.1, при этом никаких подмен адресов не производит.

Да, и разве NAT будет работать в пределах одной подсети?

Сейчас вспомнил, что отписывался в этой теме, вот как раз описываемую задачу и пробую реализовать, но пока в пределах доступного оборудования - простого роутера с адресом 192.168.1.1.

Отправлено: 17:33, 12-12-2023 | #22


Аватара для shisik

Ветеран


Сообщения: 3261
Благодарности: 597

Профиль | Отправить PM | Цитировать


NickM, может вам мост нужен? Между двумя (или тремя) сетевухами.

Цитата NickM:
Да, и разве NAT будет работать в пределах одной подсети? »
В пределах одной - нет, это бессмыслица. Но у вас фигурируют адреса 192.168.1.x и 192.168.10.x - отсюда и мысли про NAT

Последний раз редактировалось shisik, 13-12-2023 в 03:53.


Отправлено: 03:46, 13-12-2023 | #23


Аватара для NickM

Ветеран


Contributor


Сообщения: 4418
Благодарности: 1041

Профиль | Отправить PM | Цитировать


Цитата shisik:
NickM, может вам мост нужен? »
Тоже думал об этом, и даже пробовал. Но, в таком случае не получается раздавать адреса по DHCP сервером, ведь обе сетевые (eth0 и eth2) объединены в мост br0, а адреса требуется выдавать на eth2;

Цитата shisik:
Но у вас фигурируют адреса 192.168.1.x и 192.168.10.x - отсюда и мысли про NAT »
В первом вопросе об этом и было сказано - NAT был только для одной сетевой, после задачу упростил.

Отправлено: 11:39, 13-12-2023 | #24


Аватара для shisik

Ветеран


Сообщения: 3261
Благодарности: 597

Профиль | Отправить PM | Цитировать


Цитата NickM:
Но, в таком случае не получается раздавать адреса по DHCP сервером, ведь обе сетевые (eth0 и eth2) объединены в мост br0, а адреса требуется выдавать на eth2; »
А это проблема? К eth0 подключен только роутер же? У него, как я понимаю, статический адрес. Он просто не будет использовать DHCP, главно чтоб адрес был из нужной подсети. Например, у меня на компе тоже статический адрес, но в роутере DHCP поднят. Мой адрес 192.168.88.10, а DHCP раздаёт начиная с 192.168.88.100 и конфликтов нет. Так и вы можете DHCP настроить начиная например с 192.168.1.10, а у роутера пусть будет 192.168.1.1

Отправлено: 16:33, 13-12-2023 | #25


Аватара для dmitryst

Ветеран


Сообщения: 7211
Благодарности: 897

Профиль | Отправить PM | Цитировать


так, стоп....
NickM, сколько у вас всего компов? 1-250, 251-510, больше?

-------
Осваиваю FreeBSD


Отправлено: 17:42, 13-12-2023 | #26


Аватара для NickM

Ветеран


Contributor


Сообщения: 4418
Благодарности: 1041

Профиль | Отправить PM | Цитировать


Цитата shisik:
А это проблема? »
Т.е. раздавать адреса в мост, а не в сетевую?

Цитата dmitryst:
сколько у вас всего компов? »
~100

Отправлено: 18:12, 13-12-2023 | #27


Аватара для dmitryst

Ветеран


Сообщения: 7211
Благодарности: 897

Профиль | Отправить PM | Цитировать


Если 100, то да, можно настроить DHCP для выдачи адресов из двух пулов, для каждого интерфейса свой пул.

-------
Осваиваю FreeBSD


Отправлено: 18:18, 13-12-2023 | #28


Аватара для shisik

Ветеран


Сообщения: 3261
Благодарности: 597

Профиль | Отправить PM | Цитировать


Цитата NickM:
Т.е. раздавать адреса в мост, а не в сетевую? »
Честно говоря, я никогда не пробовал раздавать в сетевуху, когда есть мост. Получится так или нет - не знаю. Хоть попробовать стоит. Но если даже не получится, то неужели это проблема раздавать адреса на весь мост?

Отправлено: 02:40, 14-12-2023 | #29


Аватара для NickM

Ветеран


Contributor


Сообщения: 4418
Благодарности: 1041

Профиль | Отправить PM | Цитировать


Цитата shisik:
раздавать в сетевуху »
Цитата shisik:
Получится так или нет - не знаю. »
Раздавать в сетевую моста не получится, т.к. DHCP должен считать настройки сетевой, а у сетевых в мосту настройки отсутствуют;

Цитата shisik:
неужели это проблема раздавать адреса на весь мост? »
Тут не знаю, в мост не раздавал, но да, попробовать можно/ нужно.

Отправлено: 06:20, 14-12-2023 | #30



Компьютерный форум OSzone.net » Linux и FreeBSD » Общий по Linux » Прочее - Правильная настройка iptables

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
DNS/DHCP - Правильная настройка DNS Patjomkin Сетевые технологии 1 23-12-2011 01:32
Правильная настройка Asus+Kingston Trapdor Материнские платы и память 8 29-10-2011 19:55
Route/Bridge - Роутинг и правильная настройка wdg Сетевые технологии 8 19-03-2010 13:16
Правильная настройка цвета в CorelDRAW 12 Guest Вебмастеру 3 07-02-2005 03:39
Правильная настройка Activ Directory Teoretik Сетевые технологии 5 04-01-2005 16:18




 
Переход