Маршрутизация. Что и как(mini-HOWTO).

[dimasik22]

Скорее всего так:

Код: [Выделить]

Destination Gateway Genmask Flags MSS Window irtt Iface
192.168.100.0    0.0.0.0         255.255.255.0   U         0 0          0 eth0
192.168.110.0    0.0.0.0         255.255.255.0   U         0 0          0 eth1
192.168.120.0    0.0.0.0         255.255.255.0   U         0 0          0 eth2
192.168.130.0    0.0.0.0         255.255.255.0   U         0 0          0 eth3
Дык  больше то и не надо. Все нужные маршруты есть.

маршруты есть... а как.. а между собой они как маршрутизируются?
Пользователь решил продолжить мысль 18 Февраля 2010, 08:55:37:Здравствуйте!!!
подскажите в файерволе который - ufw как можно разрешить доступ определенным пользователям одной подсети к другой подсети?


Пользователь решил продолжить мысль 18 Февраля 2010, 11:06:47:Здравствуйте!!!
подскажите в файерволе который - ufw как можно разрешить доступ определенным пользователям одной подсети к другой подсети?

[Mam(O)n]

маршруты есть... а как.. а между собой они как маршрутизируются?

Допустим пришел пакет на мак eth0 с назначением 192.168.120.4. Согласно таблице ядро его перешлёт на eth2. Чего тут непонятного то?

[dimasik22]

Доброго времени суток!!! Спасибо, с маршрутиками разобрался, всё с вашей помощью!!!
вопрос такой, всё по моей же сети, вот у меня эти 4 подсети

eth0 192.168.100.0/24
eth1 192.168.110.0/24
eth2 192.168.120.0/24
eth3 192.168.130.0/24

теперь нужно чтобы определенные пользователи сети eth3 192.168.130.0/24 имели доступ только в сеть eth0 192.168.100.0/24, подскажите как можно сделать?

я включил файервол ufw, но не могу понять как именно такое сделать...

[Mam(O)n]

Здесь по ufw наврядли подскажут, его мало кто юзает. Iptables изучай.
Например:
iptables -A FORWARD -i eth3 -s 192.168.130.4 ! -o eth0 -j DROP
запретит юзеру с ip 192.168.130.4 на интерфейсе eth3 выходить в другую сеть, кроме eth0.

[dimasik22]

спасибо за ответ, а что ufw это плохо, не эффективно?
________________________________________________
по этому примеру:
Например:
iptables -A FORWARD -i eth3 -s 192.168.130.4 ! -o eth0 -j DROP
запретит юзеру с ip 192.168.130.4 на интерфейсе eth3 выходить в другую сеть, кроме eth0

а если так:
iptables -A FORWARD -i eth3 -s 192.168.130.0/24 ! -o eth0 -j DROP

то вся подсеть на интерфейсе eth3 не будет входить в другую сеть, кроме eth0
или я ошибаюсь?

[AnrDaemon]

ufw это междумордие. Без знания iptables им пользоваться чревато периодами полной беспомощности "ничего не работает, почему - не знаю".

[Mam(O)n]

а что ufw это плохо, не эффективно?

ufw - надстройка над netfilter/iptables. Те, кто осилил iptables наврядли будут юзать какие-либо надстройки. Я сам на ufw даже и не глядел. А здесь, как я вижу, коммьюнити делится два лагеря: те, кто осилил iptables и остальные, которые не осилили ни iptables ни ufw ни firestarter. Так что, кмк, тут скорее получишь помощь по iptables, чем по остальному барахлу.

а если так:
iptables -A FORWARD -i eth3 -s 192.168.130.0/24 ! -o eth0 -j DROP

то вся подсеть на интерфейсе eth3 не будет входить в другую сеть, кроме eth0
или я ошибаюсь?

Да, всё верно.

[AnrDaemon]

по этому примеру:
Например:
iptables -A FORWARD -i eth3 -s 192.168.130.4 ! -o eth0 -j DROP
запретит юзеру с ip 192.168.130.4 на интерфейсе eth3 выходить в другую сеть, кроме eth0

а если так:
iptables -A FORWARD -i eth3 -s 192.168.130.0/24 ! -o eth0 -j DROP

то вся подсеть на интерфейсе eth3 не будет входить в другую сеть, кроме eth0
или я ошибаюсь?

Немного не так. (В скобках будут пометки значений, принимаемых по умолчанию, это чтобы пальцем по схеме было проще водить)

Код: [Выделить]

iptables [-t filter] -A FORWARD -i eth3 -s 192.168.130.4[/32] ! -o eth0 -j DROPВсе пакеты, входящие с интерфейса eth3, имеющие адрес источника 192.168.130.4 и пытающиеся уйти НЕ через eth0 - будут дропаться.

[dimasik22]

по этому примеру:
Например:
iptables -A FORWARD -i eth3 -s 192.168.130.4 ! -o eth0 -j DROP
запретит юзеру с ip 192.168.130.4 на интерфейсе eth3 выходить в другую сеть, кроме eth0

а если так:
iptables -A FORWARD -i eth3 -s 192.168.130.0/24 ! -o eth0 -j DROP

то вся подсеть на интерфейсе eth3 не будет входить в другую сеть, кроме eth0
или я ошибаюсь?

Немного не так. (В скобках будут пометки значений, принимаемых по умолчанию, это чтобы пальцем по схеме было проще водить)

Код: [Выделить]

iptables [-t filter] -A FORWARD -i eth3 -s 192.168.130.4[/32] ! -o eth0 -j DROPВсе пакеты, входящие с интерфейса eth3, имеющие адрес источника 192.168.130.4 и пытающиеся уйти НЕ через eth0 - будут дропаться.

спасибо за ответы, я так понял что iptables - это базис, так сказать основа, а остальное это как бы дополнения (надстройки), так как в основном все сложны настройки по маршрутизации именно там.


а если нужно чтобы этой сети eth3 могли ходить определенные юзеры только в сеть eth0, а другие из той же eth3 могли видеть работать со всеми подсетями? если запутано написал, переспросите что уточнить....

в общем ситуация такая есть 4 подсети одна из них очень большая(более 3000 пользователей, там есть своя маршрутизация, подсети особо не важно)
так вот она будет подключена четвертой подсетью на шлюз, тот который я вчера спрашивал как настроить маршруты, маршруты получились всё пингуется на ура!!! НО нужно чтобы эти пользователи не могли поподать куда попало, а только на определенные адреса в первой подсети... вот это для меня проблемка номер один... что думаете на этот счет?

[AnrDaemon]

Это решается дополнительными таблицами обычно. Создаёшь таблицу, скажем, eth3_to_eth0_allowed_only, добавляешь туда пользователей по примеру 1, в основном фильтре ставишь ссылку на эту таблицу, а после неё - разрешаешь всем.
В общем, я ссылку дал, почитай. То же самое есть на русском, если с английским проблемы. Спроси у яндекса, он в курсе.

[Mam(O)n]

а если нужно чтобы этой сети eth3 могли ходить определенные юзеры только в сеть eth0, а другие из той же eth3 могли видеть работать со всеми подсетями?

Именно так и будет, если будешь прописывать правила типа iptables -A FORWARD -i eth3 -s 192.168.130.x ! -o eth0 -j DROP.

[dimasik22]

а если нужно чтобы этой сети eth3 могли ходить определенные юзеры только в сеть eth0, а другие из той же eth3 могли видеть работать со всеми подсетями?

Именно так и будет, если будешь прописывать правила типа iptables -A FORWARD -i eth3 -s 192.168.130.x ! -o eth0 -j DROP.

ребят, сейчас по думал, по сути нужно так:
нужно чтобы из всех пользователей подсети eth3 их там, как я уже говорил более 3000 могли получить доступ ко всем подсетям то есть eth0, eth1, eth2 только 5 пользователей, а ОСТАЛЬНЫМ из этой плдсети eth3 КАТЕГОРИЧЕСКИЙ ЗАПРЕТ ходить в эти подсети eth0, eth1, eth2..
вот это верно будет сформулировано! а то я сам спрашиваю, а четкую картину как именно нужно не представлял, сейчас сел нарисовал... в общем вот так!

[Mam(O)n]

Давай по пунктам и с правильной расстановкой запятых, а то ничего не понятно.

[dimasik22]

Давай по пунктам и с правильной расстановкой запятых, а то ничего не понятно.

извиняюсь, сейчас исправлюсь
Пользователь решил продолжить мысль 18 Февраля 2010, 19:46:54:в общем вот так:

подсети:

eth0 192.168.100.0/24
eth1 192.168.110.0/24
eth2 192.168.120.0/24
eth3 192.168.130.0/24 (в ней приблизительно 3000 пользователей)

нужно чтобы, пользователи подсети eth3 192.168.130.0/2, а именно 192.168.130.1, 192.168.130.2, 192.168.130.3 имели доступ к подсетям eth0, eth1, eth2, а остальные пользователи подсети eth3 не имели доступа к подсетям eth0, eth1, eth2

что то еще дополнить?

[AnrDaemon]

Не очень понимаю, как в сети на 254 пользователя может быть 3000... ну да ладно.
-t filter -A FORWARD -i eth3 -s 192.168.130.1 -j ACCEPT
-t filter -A FORWARD -i eth3 -s 192.168.130.2 -j ACCEPT
-t filter -A FORWARD -i eth3 -s 192.168.130.3 -j ACCEPT
-t filter -A FORWARD -i eth3 -s 192.168.130.0/24 -j DROP