Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Linux и FreeBSD » Общий по Linux » Прочее - Правильная настройка iptables

Ответить
Настройки темы
Прочее - Правильная настройка iptables

Аватара для NickM

Ветеран


Contributor


Сообщения: 4446
Благодарности: 1053


Конфигурация

Профиль | Отправить PM | Цитировать


Уважаемые, приветствую!

Что-то не могу осилить настройку iptables для следующей задачи

Задача состоит в том, что бы переложить раздачу IP на eth2 самим сервером, а не роутером, т.к. на роутере DHCP отсутствует, и что бы клиенты 192.168.1.х выходили в сеть под Своим IP.

Дано:
- 3 сетевых;
- DHCP, SAMBA-DC с внутренним DNS на сервере;
- eth0: IP сетевой - 192.168.1.2, к сетевой подключён роутер с IP 192.168.1.1 и обеспечивает выход в сеть Интернет;
- eth1: IP сетевой - 192.168.10.1, маскарадинг для клиентов с выходом в сеть Интернет и на сетевой работает DHCP ;
- eth2: IP сетевой - 192.168.1.3, здесь предполагается раздача адресов для клиентов с помощью DHCP сервера из 192.168.1.х сети;

Сейчас имеется доступ к сети Интернет у клиентов 192.168.10.х, т.к. настроен маскарадинг на сервере.

У клиентов 192.168.1.х никакого доступа сейчас нет , но IP от DHCP получают исправно.

В данный момент правила такие-простые:
Скрытый текст
Код: Выделить весь код
iptables-save
# Generated by iptables-save v1.8.7 on Wed Dec  6 11:15:33 2023
*mangle
:PREROUTING ACCEPT [675:43736]
:INPUT ACCEPT [609:39365]
:FORWARD ACCEPT [46:2124]
:OUTPUT ACCEPT [744:93924]
:POSTROUTING ACCEPT [788:95912]
COMMIT
# Completed on Wed Dec  6 11:15:33 2023
# Generated by iptables-save v1.8.7 on Wed Dec  6 11:15:33 2023
*nat
:PREROUTING ACCEPT [35:3163]
:INPUT ACCEPT [12:752]
:OUTPUT ACCEPT [53:3988]
:POSTROUTING ACCEPT [44:3387]
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Wed Dec  6 11:15:33 2023
# Generated by iptables-save v1.8.7 on Wed Dec  6 11:15:33 2023
*filter
:INPUT ACCEPT [68:5048]
:FORWARD ACCEPT [5:268]
:OUTPUT ACCEPT [54:4039]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -f -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -f -j DROP
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -f -j DROP
COMMIT

Отправлено: 09:44, 06-12-2023

 

Ветеран


Сообщения: 811
Благодарности: 196

Профиль | Отправить PM | Цитировать


А вам точно нужен двойной NAT? Ну всмысле, сегментировать сеть, хотя роутер, как я понял, у вас один.

Отправлено: 14:00, 06-12-2023 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для NickM

Ветеран


Contributor


Сообщения: 4446
Благодарности: 1053

Профиль | Отправить PM | Цитировать


Цитата Cereal Keeler:
А вам точно нужен двойной NAT? »
Количество IP в сети 192.168.1.х ограничено, поэтому часть клиентов прячем за NAT (это 192.168.10.х), а часть оставляем с адресами сети роутера (это 192.168.1.х).

Отправлено: 16:11, 06-12-2023 | #3


Аватара для dmitryst

Ветеран


Сообщения: 7224
Благодарности: 899

Профиль | Отправить PM | Цитировать


NickM, а как вы определите, кому какой адрес положен?

-------
Осваиваю FreeBSD


Отправлено: 16:43, 06-12-2023 | #4


Ветеран


Сообщения: 811
Благодарности: 196

Профиль | Отправить PM | Цитировать


Цитата NickM:
Количество IP в сети 192.168.1.х ограничено »
Кем ограничено? Что мешает расширить сеть до /23 (192.168.0.0 - 192.168.1.255)? Или даже /22 (192.168.0.0 - 192.168.3.255)?

Отправлено: 16:49, 06-12-2023 | #5


Аватара для dmitryst

Ветеран


Сообщения: 7224
Благодарности: 899

Профиль | Отправить PM | Цитировать


Cereal Keeler, угу, можно и до /16 расширить, но у ТС непонятное ТЗ, непонятно, по какому принципу произведено деление на сегменты, и зачем такое деление нужно.
eth0 соединить с рутером (неважно, какой адрес присвоить), вторую карту подключить к коммутатору и назначить, например, 192,168,0,1/16, пусть клиенты получают адреса по DHCP. Можно настроить привязку к МАС-адресам для "особо важных клиентов", и настроить им особые параметры доступа в интернет, если надо. Третья карта, как мне кажется, вообще лишняя.

-------
Осваиваю FreeBSD


Отправлено: 19:07, 06-12-2023 | #6


Аватара для NickM

Ветеран


Contributor


Сообщения: 4446
Благодарности: 1053

Профиль | Отправить PM | Цитировать


Цитата dmitryst:
NickM, а как вы определите, кому какой адрес положен? »
Здесь не понял, что именно определить? Или Вы про DHСP? Если про него, то DHCP работает на той или иной сетевой и он "понимает" на какой сетевой какой раздавать диапазон (с DHCP проблем нет, он настроен и работает, проблема с маршрутами, думаю тут нужно SNAT/ DNAT смотреть и FORWARD);

Цитата Cereal Keeler:
Кем ограничено? »
Провайдером ))
Просто для простоты понимания, написал сочетание слов "на роутере DHCP отсутствует" и указал простую локальную адресацию "192.168.1.х ";

Цитата dmitryst:
но у ТС непонятное ТЗ, непонятно, по какому принципу произведено деление на сегменты, и зачем такое деление нужно. »
А, что не понятно? Могу уточнить.

Провайдер выдал ограниченное количество IP и требует выход каждого АРМ под IP из выданного диапазона. При этом на устройстве провайдера (роутере) отсутствует DHCP.

Самое простое - это всех спрятать за NAT на сервере, и это уже сделано и сейчас работает (это клиенты сети 192.168.10.х), но нужно, что бы часть АРМ получала IP из диапазона провайдера и выходила под этими адресами в сеть Интернет.

Отправлено: 19:14, 06-12-2023 | #7


Аватара для dmitryst

Ветеран


Сообщения: 7224
Благодарности: 899

Профиль | Отправить PM | Цитировать


Цитата NickM:
требует выход каждого АРМ под IP из выданного диапазона »
именно требует? Если все клиенты будут использовать один адрес - это нарушение? Если нет, то
Цитата NickM:
всех спрятать за NAT на сервере »

-------
Осваиваю FreeBSD


Отправлено: 19:18, 06-12-2023 | #8


Аватара для NickM

Ветеран


Contributor


Сообщения: 4446
Благодарности: 1053

Профиль | Отправить PM | Цитировать


Цитата dmitryst:
именно требует? Если все клиенты будут использовать один адрес - это нарушение? »
Смертью конечно не карается, но нужно сделать именно так, как написано выше

Цитата dmitryst:
Если нет, то »
Цитата NickM:
и это уже сделано и сейчас работает (это клиенты сети 192.168.10.х) »

Отправлено: 19:33, 06-12-2023 | #9


Аватара для dmitryst

Ветеран


Сообщения: 7224
Благодарности: 899

Профиль | Отправить PM | Цитировать


Цитата NickM:
Смертью конечно не карается »
почитал вчера документацию по pf, вроде что-то видел, но не то. Может, сделать так:
  • основная сеть 192,168,1,0/24 - рутер и eth0
  • сеть с NAT 1 - 10.10.10.0/24 - eth1
  • сеть с NAT 2 - 10.10.20.0/24 - eth2
При этом все клиенты будут получать адрес из нужного диапазона, точнее, два адреса типа 192.168.1.4 и 192.168.1.5. Так прокатит?

-------
Осваиваю FreeBSD


Отправлено: 10:45, 07-12-2023 | #10



Компьютерный форум OSzone.net » Linux и FreeBSD » Общий по Linux » Прочее - Правильная настройка iptables

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
DNS/DHCP - Правильная настройка DNS Patjomkin Сетевые технологии 1 23-12-2011 01:32
Правильная настройка Asus+Kingston Trapdor Материнские платы и память 8 29-10-2011 19:55
Route/Bridge - Роутинг и правильная настройка wdg Сетевые технологии 8 19-03-2010 13:16
Правильная настройка цвета в CorelDRAW 12 Guest Вебмастеру 3 07-02-2005 03:39
Правильная настройка Activ Directory Teoretik Сетевые технологии 5 04-01-2005 16:18




 
Переход