|
Компьютерный форум OSzone.net » Linux и FreeBSD » Общий по Linux » Прочее - Правильная настройка iptables |
|
|
Прочее - Правильная настройка iptables
|
Ветеран Сообщения: 4446 |
Профиль | Отправить PM | Цитировать Уважаемые, приветствую!
Что-то не могу осилить настройку iptables для следующей задачи Задача состоит в том, что бы переложить раздачу IP на eth2 самим сервером, а не роутером, т.к. на роутере DHCP отсутствует, и что бы клиенты 192.168.1.х выходили в сеть под Своим IP. Дано: - 3 сетевых; - DHCP, SAMBA-DC с внутренним DNS на сервере; - eth0: IP сетевой - 192.168.1.2, к сетевой подключён роутер с IP 192.168.1.1 и обеспечивает выход в сеть Интернет; - eth1: IP сетевой - 192.168.10.1, маскарадинг для клиентов с выходом в сеть Интернет и на сетевой работает DHCP ; - eth2: IP сетевой - 192.168.1.3, здесь предполагается раздача адресов для клиентов с помощью DHCP сервера из 192.168.1.х сети; Сейчас имеется доступ к сети Интернет у клиентов 192.168.10.х, т.к. настроен маскарадинг на сервере. У клиентов 192.168.1.х никакого доступа сейчас нет , но IP от DHCP получают исправно. В данный момент правила такие-простые: Скрытый текст
iptables-save # Generated by iptables-save v1.8.7 on Wed Dec 6 11:15:33 2023 *mangle :PREROUTING ACCEPT [675:43736] :INPUT ACCEPT [609:39365] :FORWARD ACCEPT [46:2124] :OUTPUT ACCEPT [744:93924] :POSTROUTING ACCEPT [788:95912] COMMIT # Completed on Wed Dec 6 11:15:33 2023 # Generated by iptables-save v1.8.7 on Wed Dec 6 11:15:33 2023 *nat :PREROUTING ACCEPT [35:3163] :INPUT ACCEPT [12:752] :OUTPUT ACCEPT [53:3988] :POSTROUTING ACCEPT [44:3387] -A POSTROUTING -o eth0 -j MASQUERADE COMMIT # Completed on Wed Dec 6 11:15:33 2023 # Generated by iptables-save v1.8.7 on Wed Dec 6 11:15:33 2023 *filter :INPUT ACCEPT [68:5048] :FORWARD ACCEPT [5:268] :OUTPUT ACCEPT [54:4039] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -f -j DROP -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -f -j DROP -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A OUTPUT -f -j DROP COMMIT |
|
Отправлено: 09:44, 06-12-2023 |
Ветеран Сообщения: 811
|
Профиль | Отправить PM | Цитировать А вам точно нужен двойной NAT? Ну всмысле, сегментировать сеть, хотя роутер, как я понял, у вас один.
|
Отправлено: 14:00, 06-12-2023 | #2 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Ветеран Сообщения: 4446
|
Профиль | Отправить PM | Цитировать Цитата Cereal Keeler:
|
|
Отправлено: 16:11, 06-12-2023 | #3 |
Ветеран Сообщения: 7224
|
Профиль | Отправить PM | Цитировать NickM, а как вы определите, кому какой адрес положен?
|
------- Отправлено: 16:43, 06-12-2023 | #4 |
Ветеран Сообщения: 811
|
Профиль | Отправить PM | Цитировать Цитата NickM:
|
||
Отправлено: 16:49, 06-12-2023 | #5 |
Ветеран Сообщения: 7224
|
Профиль | Отправить PM | Цитировать Cereal Keeler, угу, можно и до /16 расширить, но у ТС непонятное ТЗ, непонятно, по какому принципу произведено деление на сегменты, и зачем такое деление нужно.
eth0 соединить с рутером (неважно, какой адрес присвоить), вторую карту подключить к коммутатору и назначить, например, 192,168,0,1/16, пусть клиенты получают адреса по DHCP. Можно настроить привязку к МАС-адресам для "особо важных клиентов", и настроить им особые параметры доступа в интернет, если надо. Третья карта, как мне кажется, вообще лишняя. |
------- Отправлено: 19:07, 06-12-2023 | #6 |
Ветеран Сообщения: 4446
|
Профиль | Отправить PM | Цитировать Цитата dmitryst:
Цитата Cereal Keeler:
Просто для простоты понимания, написал сочетание слов "на роутере DHCP отсутствует" и указал простую локальную адресацию "192.168.1.х "; Цитата dmitryst:
Провайдер выдал ограниченное количество IP и требует выход каждого АРМ под IP из выданного диапазона. При этом на устройстве провайдера (роутере) отсутствует DHCP. Самое простое - это всех спрятать за NAT на сервере, и это уже сделано и сейчас работает (это клиенты сети 192.168.10.х), но нужно, что бы часть АРМ получала IP из диапазона провайдера и выходила под этими адресами в сеть Интернет. |
|||
Отправлено: 19:14, 06-12-2023 | #7 |
Ветеран Сообщения: 7224
|
Профиль | Отправить PM | Цитировать |
------- Отправлено: 19:18, 06-12-2023 | #8 |
Ветеран Сообщения: 4446
|
Профиль | Отправить PM | Цитировать |
Отправлено: 19:33, 06-12-2023 | #9 |
Ветеран Сообщения: 7224
|
Профиль | Отправить PM | Цитировать Цитата NickM:
|
|
------- Отправлено: 10:45, 07-12-2023 | #10 |
|
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
DNS/DHCP - Правильная настройка DNS | Patjomkin | Сетевые технологии | 1 | 23-12-2011 01:32 | |
Правильная настройка Asus+Kingston | Trapdor | Материнские платы и память | 8 | 29-10-2011 19:55 | |
Route/Bridge - Роутинг и правильная настройка | wdg | Сетевые технологии | 8 | 19-03-2010 13:16 | |
Правильная настройка цвета в CorelDRAW 12 | Guest | Вебмастеру | 3 | 07-02-2005 03:39 | |
Правильная настройка Activ Directory | Teoretik | Сетевые технологии | 5 | 04-01-2005 16:18 |
|