Маршрутизация. Что и как(mini-HOWTO).

[fisher74]

Вы перемудрили и делаете одну и туже ошибку в обоих случаях: Вы выставляете в качестве гетвея адрес из чужой сети.
Всё до безобразия проще
на 192.168.1.82(или 92 - Вашу параною не всегда поймёшь):

Код: [Выделить]

sudo route add -host 192.168.1.10 gw 192.168.1.81на 192.168.1.10:

Код: [Выделить]

sudo route add -host 192.168.1.82(92) gw 192.168.1.30ВСЁ
Пользователь решил продолжить мысль 17 Июня 2013, 19:23:31:

почему он не идёт через 192.168.1.30?

Потому что 1.30 для прохода c 1.10 на 1.82 не нужен. В роли шлюза в этом случае выступает 1.81 и следующий "хоп" будет уже на 1.10

[AnrDaemon]

На 192.168.1.10 -
ip route add 192.168.1.80/28 via 192.168.1.30

На 192.168.1.82 -
ip route add 192.168.1.0/26 via 192.168.1.81

Всё!
Можно ещё добавить "... dev eth0" для пущей ясности, но это уже блажь.

[fisher74]

AnrDaemon, будь внимательней

теперь надо сделать так, чтобы  трафик между компами 192.168.1.10 и 192.168.1.82 ходил через шлюз 192.168.1.30

Ни кто не говорил про всех клиентов между собой. Да и не отложится, что для связки между хостами не обязательны глобальные меры (в плане маршрутизации).
Сейчас сделает все-со-всеми, а потом будет таблесами прикрывать. Хотя, конечно если в этом есть необходимость, то всё равно надо будет делать.

[angelium]

fisher74,AnrDaemon,спасибо за разъяснение!
Меня ввели в заблуждение утверждением, что при обратном маршруте хопы должны быть идентичны а если это не так - я настроил неверно. Посему я и полез "городить".

[fisher74]

Собственно, в Вашем случае дверь-то одна, только вот вид (адрес)у неё разный.
Я, если честно, начало топика уже не помню, но люблю объяснять маршрутизацию примерно так:
Маршрутизация - как бы карта местности. По которой пакеты находят дорогу в пункт назначения.
Например, санаторий. Всё начинается с кабинета (хост) из которой пакеты выходят через интерфейс под названием дверь (окна не рассматриваем, через них не ходят). У кабинета есть свой номер (например последняя цифра ip-адреса), номер корпуса (предпоследняя цифра). Выйдя из кабинета пакет попадает в локальную сеть под названием корпус, соединённый коридором-кабелем. По коридору-кабелю можно попасть в другие хосты-кабинеты. То есть внутри локальной сети-корпуса они могут двигаться свободно, не выходя за пределы корпуса.
Но вот если нам нужно попасть куда-то в другое место, то нужно из корпуса выйти. И не важно в какой именно корпус и на какую именно улицу и какого именно города - пакет нужно выйти из корпуса и входная дверь будет дефолт-гетвеем к другим адресам  (правда тут косяк в объяснении - у входной двери нет адреса внутри корпуса, а в сети гетвей адрес имеет).
Заметьте, что снаружи её цвет (адрес внутри сети) не виден, зато виден её внешний адрес-номер.
Но вот рядом построили ещё один корпус и все пакеты ходили между этими корпусами через основные шлюзы. Но пришло время и между ними построили переход (шлюз) И вот появился новый маршрут движения между корпусами: чтобы пройти из первого корпуса во второй нужно пройти через дверь номер 30 (первого корпуса), а обратно, нужно пройти через дверь под номером 81 во втором корпусе. Заметьте - переход один, а адреса разные.

Можно и дальше рассказывать, но думаю Вам, и не только Вам, идея понятна.

[AnrDaemon]

AnrDaemon, будь внимательней

Ни кто не говорил про всех клиентов между собой.

Добавлением маршрутов на одной отдельно взятой машине ты не соединишь всех клиентов между собой.

[fisher74]

Тоже верно

[Дмитриус]

Господа, здравствуйте. Помогите советом.

Есть у меня:
сеть1 213.x.x.104 / 29 настроена на железе прова
сеть2 87.y.y.32 / 28 которую пров роутит на 213.x.x.109

на eth0 настроено:
ip: 213.x.x.109
mask: 255.255.255.248
gate: 213.x.x.105

на eth1 настроено:
ip: 87.y.y.33
mask: 255.255.255.240
gate: -

Без всяких доп настроек с наружи и с локалки видно оба айпишника сервера, но при этом трафик до/от компов 87.y.y.34+ за этим сервером не ходит.
На компах настроено:
ip: 87.y.y.34+
mask: 255.255.255.240
gate: 87.y.y.33

Kernel IP routing table

(Нажмите, чтобы показать/скрыть)

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         213.x.x.105     0.0.0.0         UG    0      0        0 eth0
87.y.y.32       *               255.255.255.240 U     1      0        0 eth1
link-local      *               255.255.0.0     U     1000   0        0 eth1
213.x.x.104     *               255.255.255.248 U     1      0        0 eth0

Полагаю надо прописать роутинг на серваке, но никак не соображу как именно. Подскажите, пожалуйста.

[ArcFi]

Дмитриус, выхлоп

Код: [Выделить]

ip a ; ip r ; sysctl net.ipv4.ip_forward ; sudo iptables-save ?

[Дмитриус]

ArcFi, вот

(Нажмите, чтобы показать/скрыть)

it@Ub:~$ ip a ; ip r ; sysctl net.ipv4.ip_forward ; sudo iptables-save 
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 08:00:27:eb:b5:d9 brd ff:ff:ff:ff:ff:ff
    inet 213.x.x.109/29 brd 213.x.x.111 scope global eth0
    inet6 fe80::a00:27ff:feeb:b5d9/64 scope link
       valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 08:00:27:e5:8b:03 brd ff:ff:ff:ff:ff:ff
    inet 87.y.y.33/28 brd 87.y.y.47 scope global eth1
    inet6 fe80::a00:27ff:fee5:8b03/64 scope link
       valid_lft forever preferred_lft forever
default via 213.x.x.105 dev eth0  proto static
87.y.y.32/28 dev eth1  proto kernel  scope link  src 87.y.y.33  metric 1
169.254.0.0/16 dev eth0  scope link  metric 1000
213.x.x.104/29 dev eth0  proto kernel  scope link  src 213.x.x.109  metric 1
net.ipv4.ip_forward = 0
[sudo] password for it:
it@Ub:~$

[ArcFi]

Дмитриус,

Код: [Выделить]

echo 'net.ipv4.ip_forward = 1' | sudo tee -a /etc/sysctl.conf ; sudo sysctl -p /etc/sysctl.conf

[Дмитриус]

ArcFi,
Спасибо большое. А ларчик просто открывался

[AnrDaemon]

ArcFi,
sysctl -w net.ipv4.ip_forward=1

[ArcFi]

AnrDaemon, ага, точно, я уже и забыл.
У себя на серваках копирую конфиг целиком из бэкапа в /etc/sysctl.d/.

[crazy_user]

Знатоки, опять прошу помощи! Все было хорошо.. но стало плохо.. пропали внутренние ресурсы провайдера. где рыть? рулесы:

(Нажмите, чтобы показать/скрыть)

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -d 10.0.0.0/32 -p tcp -m multiport --dports 80,443 -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -i eth0 -j LOG --log-prefix "BANDWIDTH_IN: " --log-level 7
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -s 192.168.0.0/24 -j ACCEPT
-A FORWARD -i eth0 -j LOG --log-prefix "BANDWIDTH_IN: " --log-level 7
-A OUTPUT -o eth0 -j LOG --log-prefix "BANDWIDTH_OUT: " --log-level 7
COMMIT
# Completed on Wed Aug 28 09:06:54 2013
# Generated by iptables-save v1.4.12 on Wed Aug 28 09:06:54 2013
*mangle
:PREROUTING ACCEPT [20382:24495051]
:INPUT ACCEPT [20081:24468905]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [9740:796413]
:POSTROUTING ACCEPT [9772:800759]
COMMIT
# Completed on Wed Aug 28 09:06:54 2013

интерфейсы:

(Нажмите, чтобы показать/скрыть)

auto lo
iface lo inet loopback

# The primary network interface
auto eth0
iface eth0 inet dhcp
up route add -net 91.105.204.0 netmask 255.255.255.0 gw 10.10.184.5 eth0

auto eth1
iface eth1 inet static
address 192.168.0.21
netmask 255.255.255.0

auto dsl-provider
iface dsl-provider inet ppp
pre-up /sbin/ifconfig eth0 up # line maintained by pppoeconf
provider dsl-provider
pre-up iptables-restore < /etc/iptables.up.rules

эзер0 в сетку прова смотрит, эзер1 в локалку. подключение pppoe.. маршруты теперь пров дает по DHCP...