Автор Тема: Статическая маршрутизация IPTABLES (Прочитано 8484 раз)

Гарри Кашпировский · « **Ответ #15 :** 09 Мая 2010, 21:39:15 »

Да.

G00sha · « **Ответ #16 :** 09 Мая 2010, 21:53:26 »

Если на маршрутизаторах будут следующие таблицы маршрутизации, пакеты из любой подсети будут доходить до любой подсети?
Во вложении оформил в виде схемы. Посмотрите, пожалуйста, правильно ли.

Гарри Кашпировский · « **Ответ #17 :** 09 Мая 2010, 22:09:40 »

Нет не верно. Шлюзы маршрутизаторов указать обязятельно.

Код: (Alpha (192.168.111.1)) [Выделить]

route add -net 10.1.0.0/24 gw 192.168.111.2 dev eth1
route add -net 192.168.1.0/24 gw 192.168.111.2 dev eth1
route add -net 10.1.1.0/24 gw 192.168.111.3 dev eth2

Код: (Beta (192.168.111.2)) [Выделить]

route add -net 192.168.0.0/24 gw 192.168.111.1 dev eth2
route add -net 10.1.1.0/24 gw 192.168.111.3 dev eth2

Код: (Gamma (192.168.111.3)) [Выделить]

route add -net 192.168.0.0/24 gw 192.168.111.1 dev eth2
route add -net 192.168.1.0/24 gw 192.168.111.2 dev eth2
route add -net 10.1.0.0/24 gw 192.168.111.2 dev eth2

Пользователь решил продолжить мысль [time]Sun May 9 18:33:32 2010[/time]:

Но думаеться, ни хрена так не заработает. На альфе eth1 и eth2 нужно объединять в мост с адресом 192.168.111.1 или выкинуть одну сетевуху и воткнуть свитч.

Пользователь решил продолжить мысль [time]Sun May 9 20:53:23 2010[/time]:

Без моста тоже конечно можно, однако маршрутов будет на порядок больше.

G00sha · « **Ответ #18 :** 09 Мая 2010, 22:57:46 »

Переделал, посмотрите, пожалуйста, еще раз.
Прошу обратить внимание на следующее:
1. Роутер Alpha имеет 2 интерфейса, связанных с другими роутерами (на схеме eth1 [192.168.111.1] и eth2 [192.168.112.1]).
2. В некоторых случаях пакет идет через 3 роутера (например, из 192.168.1.0/24 в 10.1.1.0/24), правильно ли указан шлюз?

Пользователь решил продолжить мысль 09 Мая 2010, 19:01:24:

А как в объединить интерфейсы eth1 и eth2 в бридж?

Пользователь решил продолжить мысль 09 Мая 2010, 21:14:58:

Еще раз переделал. Наверное, правильнее объединить сетевухи мостом и оставить таблицу маршрутизации как во вложении.

Пользователь решил продолжить мысль 09 Мая 2010, 23:32:16:

Видимо, опять не правильно. Если делать мост, то в таблице Альфы, наверное, надо писать вместо eth1 и eth2 br0.
А в /etc/network/interfaces типа такого:
auto br0
iface br0 inet static
address 192.168.111.1
network 192.168.111.0
netmask 255.255.255.0
broadcast 192.168.0.255
gateway 192.168.111.1
bridge_ports eth1, eth2
bridge_fd 9
bridge_hello 2
bridge_maxage 12
bridge_stp off

Гарри Кашпировский · « **Ответ #19 :** 09 Мая 2010, 23:54:55 »

Да, направление верное, правда много лишнего, шлюз в br0 по умолчанию, например, не нужен.

G00sha · « **Ответ #20 :** 09 Мая 2010, 23:58:20 »

Много лишнего где? в бридже?

Гарри Кашпировский · « **Ответ #21 :** 10 Мая 2010, 00:02:52 »

Да. Я бы вот так сделал

Код: (/etc/network/interfaces) [Выделить]

auto lo eth0 eth1 eth2 br0
iface lo inet loopback
iface eth0 inet static
      address 192.168.0.1
      netmask 255.255.255.0
iface eth1 inet manual
iface eth2 inet manual
iface br0 inet static
      address 192.168.111.1
      netmask 255.255.255.0
      bridge_ports eth1, eth2
      bridge_fd 9
      bridge_hello 2
      bridge_maxage 12
      bridge_stp off

G00sha · « **Ответ #22 :** 10 Мая 2010, 00:12:55 »

Спасибо огромное, Гарри Кашпировский!
Надеюсь последний вариант окажется работоспособным )

Пользователь решил продолжить мысль 10 Мая 2010, 09:20:20:

Какие нужно написать правила фильтрации на BETA, чтобы все хосты имели доступ только к WWW (192.168.1.2) и MAIL (192.168.1.3) серверам, причем вебсервер только для интрасети, а почтовый - еще и для Интернета?

Пользователь решил продолжить мысль 10 Мая 2010, 14:30:53:

Верны ли следующие правила для указанной ситуации?

iptables -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -p TCP -i eth1 -s 10.1.0.0/24 -d 192.168.1.2 –dport 80 -j ACCEPT

iptables -A INPUT -p TCP -i eth2 -s 192.168.0.0/24 -d 192.168.1.2 –dport 80 -j ACCEPT

iptables -A INPUT -p TCP -d 192.168.1.3 –m multiport –dports 25,110 -j ACCEPT

iptables -A INPUT -p DROP

Гарри Кашпировский · « **Ответ #23 :** 10 Мая 2010, 15:47:22 »

Это всё отлично и хорошо. Меня интересует вот что. Получилось ли организовать связность сетей?
А правила удалить. Они работать не будут. Делается всё в цепочке FORWARD.

G00sha · « **Ответ #24 :** 10 Мая 2010, 15:56:51 »

Маршрутизацию проверить пока не могу, только на работе.
В правилах заменить INPUT на FORWARD, или требуется что-то более радикальное?

Гарри Кашпировский · « **Ответ #25 :** 10 Мая 2010, 16:12:56 »

Пока не на работе вот Вы ссылку в 3-м посте дали. Пролистайте

G00sha · « **Ответ #26 :** 10 Мая 2010, 16:27:51 »

На работу надо прийти с рабочим решением. Консультироваться было разрешено )
Методом тыка оно со временем все равно работать начинает. ))
хотелось бы, конечно, разобраться.
По ссылке, естественно, ходил и старался вдумчиво курить )
Было бы здорово, если бы более опытные и грамотные администраторы указали на ошибки

Пользователь решил продолжить мысль 10 Мая 2010, 14:39:29:

iptables -A FORWARD -p TCP -m state --state ESTABLISHED,RELATED -j allowed

iptables -A FORWARD -p TCP -i eth1 -s 10.1.0.0/24 -d 192.168.1.2 –dport 80 -j allowed

iptables -A FORWARD -p TCP -i eth2 -s 192.168.0.0/24 -d 192.168.1.2 –dport 80 -j allowed

iptables -A FORWARD -p TCP -d 192.168.1.3 –m multiport –dports 25,110 -j allowed

видимо, так будут пропущены пакеты на WWW и MAIL сервера из указанных подсетей...

Пользователь решил продолжить мысль 10 Мая 2010, 16:57:59:

# eth0 - DMZ-интерфейс в сеть WWW и MAIL
iptables -A FORWARD -i eth0 -o eth2 -j ACCEPT
iptables -A FORWARD -i eth2 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

Гарри Кашпировский · « **Ответ #27 :** 10 Мая 2010, 18:34:17 »

Цитата: G00sha от 10 Мая 2010, 16:27:51

На работу надо прийти с рабочим решением. Консультироваться было разрешено )

Я могу посоветовать вот что. Есть такая вещь, VMWare - в которой твоя топология сетки, эмулируется элементарно. Заодно и потренируешься так сказать в условиях приближенных к боевым.

G00sha · « **Ответ #28 :** 14 Мая 2010, 11:01:17 »

Возникла задача избавиться от моста.
Вопрос: как организовать проход пакетов для случая прохождения через все 3 маршрутизатора?

Пользователь решил продолжить мысль 14 Мая 2010, 09:41:52:

Задача - пакет из сети 192.168.1.0 мог дойти в сеть 192.168.4.0.
Условные обозначения:
{...} - подсеть
[...] - роутер на линукс
eth0 - интерфейс.
Схема сети
{192.168.1.0/24}---[eth0-192.168.1.1 eth1-192.168.2.1]----[eth0-192.168.2.2 eth1-192.168.3.1]---[eth0-192.168.3.2 eth1-192.168.4.1]---{192.168.4.0/24}.

AnrDaemon · « **Ответ #29 :** 14 Мая 2010, 11:50:04 »

На мой взгляд, задачка тривиальна. Как решал и что не получилось? (Именно "как решал", а не "какие правила писал")

Форум русскоязычного сообщества Ubuntu

Автор Тема: Статическая маршрутизация IPTABLES (Прочитано 8484 раз)

Гарри Кашпировский

Re: Статическая маршрутизация IPTABLES

G00sha

Re: Статическая маршрутизация IPTABLES

Гарри Кашпировский

Re: Статическая маршрутизация IPTABLES

G00sha

Re: Статическая маршрутизация IPTABLES

Гарри Кашпировский

Re: Статическая маршрутизация IPTABLES

G00sha

Re: Статическая маршрутизация IPTABLES

Гарри Кашпировский

Re: Статическая маршрутизация IPTABLES

G00sha

Re: Статическая маршрутизация IPTABLES

Гарри Кашпировский

Re: Статическая маршрутизация IPTABLES

G00sha

Re: Статическая маршрутизация IPTABLES

Гарри Кашпировский

Re: Статическая маршрутизация IPTABLES

G00sha

Re: Статическая маршрутизация IPTABLES

Гарри Кашпировский

Re: Статическая маршрутизация IPTABLES

G00sha

Re: Статическая маршрутизация IPTABLES

AnrDaemon

Re: Статическая маршрутизация IPTABLES