Добрый день!
Помогите пожалуйста советом или ссылкой на решение след. вопроса:
(гугление не добавило ясности...)
Необходимо обеспечить доступ в интерент с компьютера (компьютеров) (Windows), имеющего два сетевых адаптера (две сети). Взаимодействие сетей между собой категорически не нужно. Основная рабочая сеть eth1: 192.168.100.0/24 дополнительная сеть eth2: 172.16.0.0/12
Дополнительная сеть необходима на этом-же физическом компьютере!
Для проверки, дополнительные адаптеры добавлены на 2 компьютера с Windows и один на сервер (шлюз в интернет и роутер). Основная сеть (192...) работает без нареканий.
Компьютер с Windows (172.16.0.2) пингует серверер (172.16.0.1) но не пингует своего соседа (172.16.0.3)
Сервер их обоих не пингует:(
Пинг интернета с Windowsких машин не проходит (при условии отключения адаптеров основной рабочей сети!!!).
В правила для файрвола просто добавил строки, по смыслу подходящие для второй сети (без них даже сервер не пинговался).
ifconfig сервера
sm@vmRouter:~$ ifconfig -a
eth0 Link encap:Ethernet HWaddr 00:15:5d:64:48:00
inet addr:79.122.153.126 Bcast:79.122.153.127 Mask:255.255.255.252
inet6 addr: fe80::215:5dff:fe64:4800/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:13826068 errors:0 dropped:218670 overruns:0 frame:0
TX packets:13824039 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:10053049798 (10.0 GB) TX bytes:10222299058 (10.2 GB)
eth0:1 Link encap:Ethernet HWaddr 00:15:5d:64:48:00
inet addr:79.122.153.142 Bcast:79.122.153.143 Mask:255.255.255.252
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
eth1 Link encap:Ethernet HWaddr 00:15:5d:64:48:01
inet addr:192.168.100.1 Bcast:192.168.100.255 Mask:255.255.255.0
inet6 addr: fe80::215:5dff:fe64:4801/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:18255593 errors:0 dropped:0 overruns:0 frame:0
TX packets:15154231 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:14129251114 (14.1 GB) TX bytes:13904242941 (13.9 GB)
eth2 Link encap:Ethernet HWaddr 00:15:5d:64:48:aa
inet addr:172.16.0.1 Bcast:172.16.255.255 Mask:255.240.0.0
inet6 addr: fe80::215:5dff:fe64:48aa/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:3232 errors:0 dropped:0 overruns:0 frame:0
TX packets:536 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:433660 (433.6 KB) TX bytes:40825 (40.8 KB)
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:65536 Metric:1
RX packets:1770568 errors:0 dropped:0 overruns:0 frame:0
TX packets:1770568 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1081480755 (1.0 GB) TX bytes:1081480755 (1.0 GB
ip route show
sm@vmRouter:~$ ip route show
default via 79.122.153.125 dev eth0
79.122.153.124/30 dev eth0 proto kernel scope link src 79.122.153.126
79.122.153.140/30 dev eth0 proto kernel scope link src 79.122.153.142
172.16.0.0/12 dev eth2 proto kernel scope link src 172.16.0.1
192.168.100.0/24 dev eth1 proto kernel scope link src 192.168.100.1
Правила файрвола
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
COMMIT
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
# Правило для работы прозрачного прокси для определенного диапазона адресов
-A PREROUTING -i eth1 -p tcp -m iprange --src-range 192.168.100.54-192.168.100.254 -m multiport --dports 80,3128 -j DNAT --to-destination 192.168.100.1:8081
# Настройка SNAT
-A POSTROUTING -s 192.168.100.0/255.255.255.0 -o eth0 -j SNAT --to-source 79.122.153.126
-A POSTROUTING -s 192.168.100.0/255.255.255.0 -o eth0:1 -j SNAT --to-source 79.122.153.142
# Маршрутизация дополнительной сети
-A POSTROUTING -s 172.16.0.0/255.240.0.0 -o eth0 -j SNAT --to-source 79.122.153.126
COMMIT
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
# Блокируем состояние INVALID для входящих соединений
-A INPUT -m conntrack --ctstate INVALID -j DROP
# Разрешаем обмен данными по интерфейсу замыкания на себя
-A INPUT -p ALL -i lo -s 127.0.0.1 -j ACCEPT
-A INPUT -p ALL -i lo -s 192.168.100.1 -j ACCEPT
-A INPUT -p ALL -i lo -s 172.16.0.1 -j ACCEPT
-A INPUT -p ALL -i lo -s 79.122.153.126 -j ACCEPT
-A INPUT -p ALL -i lo -s 79.122.153.142 -j ACCEPT
# Правила для входящего трафика на сервер
# с интерфейса eth0 и eth0:1 только соединения, которые инициализирует сервер
-A INPUT -i eth0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth0:1 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
# с интерфейса eth1 разрешено всё
-A INPUT -i eth1 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -m conntrack --ctstate NEW -j ACCEPT
# с интерфейса eth2 разрешено всё
-A INPUT -i eth2 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth2 -m conntrack --ctstate NEW -j ACCEPT
# Правила транзитного трафика
-A FORWARD -m conntrack --ctstate INVALID -j DROP
-A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
# из сети 192.168.100.0/24, подключенной к eth1, разрешено обращаться
# к внешним ресурсам по любому протоколу к любому ресурсу
-A FORWARD -s 192.168.100.0/255.255.255.0 -i eth1 -m conntrack --ctstate NEW -j ACCEPT
# из сети 172.16.0.0/12, подключенной к eth2, разрешено обращаться
# к внешним ресурсам по любому протоколу к любому ресурсу
-A FORWARD -s 172.16.0.0/255.240.0.0 -i eth2 -m conntrack --ctstate NEW -j ACCEPT
# Правило, упрощающее настройку проброса портов
-A FORWARD -m conntrack --ctstate DNAT -j ACCEPT
COMMIT
Конфигурация Windows машин (одной из двух)
ipconfig
Ethernet adapter Подключение по локальной сети 3:
DNS-суффикс подключения . . . . . :
IPv4-адрес. . . . . . . . . . . . : 172.16.0.2
Маска подсети . . . . . . . . . . : 255.240.0.0
Основной шлюз. . . . . . . . . :
Ethernet adapter Подключение по локальной сети:
DNS-суффикс подключения . . . . . :
IPv4-адрес. . . . . . . . . . . . : 192.168.100.9
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.100.1
route print
C:\Users\Администратор>route print
===========================================================================
Список интерфейсов
13 ...00 15 5d 64 48 ac ...... 10 ...00 15 5d 64 48 05 ...... 1 ..........
............... Software Loopback Interface 1
14 ...00 00 00 00 00 00 00 e0 isatap.kbmk.kirov.ru
11 ...02 00 54 55 4e 01 ...... Teredo Tunneling Pseudo-Interface
29 ...00 00 00 00 00 00 00 e0 ==============================================
===========================
IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.100.1 192.168.100.9 5
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
172.16.0.0 255.240.0.0 On-link 172.16.0.2 261
172.16.0.2 255.255.255.255 On-link 172.16.0.2 261
172.31.255.255 255.255.255.255 On-link 172.16.0.2 261
192.168.100.0 255.255.255.0 On-link 192.168.100.9 261
192.168.100.9 255.255.255.255 On-link 192.168.100.9 261
192.168.100.255 255.255.255.255 On-link 192.168.100.9 261
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.100.9 261
224.0.0.0 240.0.0.0 On-link 172.16.0.2 261
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.100.9 261
255.255.255.255 255.255.255.255 On-link 172.16.0.2 261
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
172.16.0.0 255.240.0.0 172.16.0.2 1
===========================================================================
Тема: Маршрутизация двух сетей. (Прочитано 841 раз)
