Форум русскоязычного сообщества Ubuntu

Пожалуйста, войдите или зарегистрируйтесь.

Считаете, что Ubuntu недостаточно дружелюбна к новичкам?
Помогите создать новое Руководство для новичков!

« предыдущая тема следующая тема »
Страницы: [1]   Вниз

Автор Тема: Маршрутизатор Ubuntu+4 локалки+ppp+iptables  (Прочитано 1381 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн De_ViL_kinG

  • Автор темы
  • Новичок
  • *
  • Сообщений: 26
    • Просмотр профиля
Маршрутизатор Ubuntu+4 локалки+ppp+iptables
« : 17 Мая 2012, 16:15:57 »
И так... имеем 4 интерфейса.
Код: [Выделить]
eth1      Link encap:Ethernet  HWaddr c0:10:18:c0:2d:2d 
          inet addr:172.16.200.7  Bcast:172.16.255.255  Mask:255.255.0.0
          inet6 addr: fe80::c210:18ff:fec0:2d2d/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:15602531 errors:0 dropped:0 overruns:0 frame:0
          TX packets:24982028 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1990056725 (1.9 GB)  TX bytes:1625763546 (1.6 GB)
          Interrupt:22

eth3      Link encap:Ethernet  HWaddr 00:14:78:02:84:b6 
          inet addr:192.168.12.224  Bcast:192.168.15.255  Mask:255.255.240.0
          inet6 addr: fe80::214:78ff:fe02:84b6/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:32707851 errors:0 dropped:0 overruns:0 frame:0
          TX packets:15961568 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1287530403 (1.2 GB)  TX bytes:1895277118 (1.8 GB)
          Interrupt:21 Base address:0x1200

eth7      Link encap:Ethernet  HWaddr 4c:00:10:54:f6:b4 
          inet addr:172.17.200.5  Bcast:172.17.255.255  Mask:255.255.0.0
          inet6 addr: fe80::4e00:10ff:fe54:f6b4/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:19064785 errors:0 dropped:0 overruns:0 frame:0
          TX packets:11328903 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:4181112895 (4.1 GB)  TX bytes:1180606492 (1.1 GB)
          Interrupt:19 Base address:0x1000

eth8      Link encap:Ethernet  HWaddr 00:80:48:5e:10:27 
          inet addr:192.168.111.20  Bcast:192.168.111.255  Mask:255.255.255.0
          inet6 addr: fe80::280:48ff:fe5e:1027/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:593328 errors:1558 dropped:0 overruns:0 frame:0
          TX packets:297441 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:796601322 (796.6 MB)  TX bytes:20651520 (20.6 MB)
          Interrupt:18 Base address:0x1100

eth1 - Внутренняя сеть офиса
eth3 - Городская сеть №1 (прямой коннект без шлюзов)
eth8 - Городская сеть №2 (шлюз 192.168.111.254)
eth7 - Местный провайдер РТК (Технология ADSL (шлюз 172.17.200.2))

ppp0 - МТС + USB Huawei + wvdial (доступ в интернет)

ОС  -  Ubuntu 10.10 с билингом Stargazer (контролирует доступ в интернет офисную сеть (eth1)) и Proxy APT-CAHCER-NG

Задача у шлюза предоставлять доступ с офисной сети в интернет и к ресурсам городских сетей.
И эта задача решена. Но Всегда есть НО... и в данном случае не маленькое... Вторая и не менее важная задача, это предоставить Городским  сетям и Локальной сети местного провайдера доступ к ресурсам находящимся на самом маршрутизаторе и серверам во внутренней сети офиса. И эта проблема решена частично при помощи iptables и iprules (как и в первой задаче)... Но не могу совместить две городских сети eth3 (192.168.0.0/20) и eth8(192.168.0.0/24)... в первой все работает на ура... а во второй проблемы... видно только сам маршрутизатор, а порты по правилам iptables он не перенапрвляет...

Кто с похожим сталкивался?... очень просим помощи... все необходимые конфиги и листинги предоставлю...

P.S.: добавляю конфиг файлы

/etc/rc.local
/etc/network/interface

и скрипт для route таблиц дополнительных
Код: [Выделить]
#!/bin/sh
#
#if.up.sh
echo "Erase the route..."

INET_ADSL_GW="172.17.200.2"
INET_RADIUS_GW="192.168.111.254"

/bin/ip route flush cache
/bin/ip route flush table 4
/bin/ip route flush table 5

echo "Copy main routing table to adsl (ID 4,5) table"

/bin/ip route show table main | grep -Ev ^default | while read ROUTE ; do ip route add table 4 $ROUTE ; done
/bin/ip route add table 4 default via $INET_ADSL_GW
/bin/ip route show table main | grep -Ev ^default | while read ROUTE ; do ip route add table 5 $ROUTE ; done
/bin/ip route add table 5 default via $INET_RADIUS_GW

/bin/ip rule add fwmark 4 table 4
/bin/ip rule add fwmark 5 table 5

/bin/echo 0 > /proc/sys/net/ipv4/conf/eth7/rp_filter
/bin/echo 0 > /proc/sys/net/ipv4/conf/eth8/rp_filter
/bin/echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter
« Последнее редактирование: 17 Мая 2012, 16:51:10 от De_ViL_kinG »

Оффлайн koshev

  • Старожил
  • *
  • Сообщений: 1709
  • חתול המדען
    • Просмотр профиля
Re: Маршрутизатор Ubuntu+4 локалки+ppp+iptables
« Ответ #1 : 18 Мая 2012, 11:15:04 »
Код: (text) [Выделить]
ip rule
ip -4 r s t all
iptables-saveДля полноты картинки
OpenWrt 19.07

Оффлайн De_ViL_kinG

  • Автор темы
  • Новичок
  • *
  • Сообщений: 26
    • Просмотр профиля
Re: Маршрутизатор Ubuntu+4 локалки+ppp+iptables
« Ответ #2 : 19 Мая 2012, 12:54:13 »
ip rule
Код: [Выделить]
0: from all lookup local
32720: from all fwmark 0x5 lookup 5
32721: from all fwmark 0x4 lookup 4
32722: from all fwmark 0x5 lookup 5
32723: from all fwmark 0x4 lookup 4
32724: from all fwmark 0x5 lookup 5
32725: from all fwmark 0x4 lookup 4
32726: from all fwmark 0x5 lookup 5
32727: from all fwmark 0x4 lookup 4
32728: from all fwmark 0x5 lookup 5
32729: from all fwmark 0x4 lookup 4
32730: from all fwmark 0x5 lookup 5
32731: from all fwmark 0x4 lookup 4
32732: from all fwmark 0x5 lookup 5
32733: from all fwmark 0x4 lookup 4
32734: from all fwmark 0x5 lookup 5
32735: from all fwmark 0x4 lookup 4
32736: from all fwmark 0x5 lookup 5
32737: from all fwmark 0x4 lookup 4
32738: from all fwmark 0x5 lookup 5
32739: from all fwmark 0x4 lookup 4
32740: from all fwmark 0x5 lookup 5
32741: from all fwmark 0x4 lookup 4
32742: from all fwmark 0x5 lookup 5
32743: from all fwmark 0x4 lookup 4
32744: from all fwmark 0x5 lookup 5
32745: from all fwmark 0x4 lookup 4
32746: from all fwmark 0x5 lookup 5
32747: from all fwmark 0x4 lookup 4
32748: from all fwmark 0x5 lookup 5
32749: from all fwmark 0x4 lookup 4
32750: from all fwmark 0x5 lookup 5
32751: from all fwmark 0x4 lookup 4
32752: from all fwmark 0x5 lookup 5
32753: from all fwmark 0x4 lookup 4
32754: from all fwmark 0x5 lookup 5
32755: from all fwmark 0x4 lookup 4
32756: from all fwmark 0x5 lookup 5
32757: from all fwmark 0x4 lookup 4
32758: from all fwmark 0x5 lookup 5
32759: from all fwmark 0x4 lookup 4
32760: from all fwmark 0x5 lookup 5
32761: from all fwmark 0x4 lookup 4
32762: from all fwmark 0x5 lookup 5
32763: from all fwmark 0x4 lookup 4
32764: from all fwmark 0x5 lookup 5
32765: from all fwmark 0x4 lookup 4
32766: from all lookup main
32767: from all lookup default
ip -4 r s t all
Код: [Выделить]
192.168.111.0/24 dev eth8  table 4  proto kernel  scope link  src 192.168.111.20
192.168.0.0/20 dev eth3  table 4  proto kernel  scope link  src 192.168.12.224
172.16.0.0/16 dev eth1  table 4  proto kernel  scope link  src 172.16.200.7
169.254.0.0/16 dev eth3  table 4  scope link  metric 1000
172.17.0.0/16 dev eth7  table 4  proto kernel  scope link  src 172.17.200.5
default via 172.17.200.2 dev eth7  table 4
10.64.64.64 dev ppp0  proto kernel  scope link  src 172.23.47.67
192.168.22.0/24 via 192.168.111.254 dev eth8
192.168.61.0/24 via 192.168.111.254 dev eth8
192.168.111.0/24 dev eth8  proto kernel  scope link  src 192.168.111.20
192.168.173.0/24 via 192.168.111.254 dev eth8
192.168.107.0/24 via 192.168.111.254 dev eth8
192.168.0.0/20 dev eth3  proto kernel  scope link  src 192.168.12.224
169.254.0.0/16 dev eth3  scope link  metric 1000
172.16.0.0/16 dev eth1  proto kernel  scope link  src 172.16.200.7
172.17.0.0/16 dev eth7  proto kernel  scope link  src 172.17.200.5
default dev ppp0  scope link
192.168.111.0/24 dev eth8  table 5  proto kernel  scope link  src 192.168.111.20
192.168.0.0/20 dev eth3  table 5  proto kernel  scope link  src 192.168.12.224
172.16.0.0/16 dev eth1  table 5  proto kernel  scope link  src 172.16.200.7
169.254.0.0/16 dev eth3  table 5  scope link  metric 1000
172.17.0.0/16 dev eth7  table 5  proto kernel  scope link  src 172.17.200.5
default via 192.168.111.254 dev eth8  table 5
local 172.17.200.5 dev eth7  table local  proto kernel  scope host  src 172.17.200.5
local 172.16.200.7 dev eth1  table local  proto kernel  scope host  src 172.16.200.7
broadcast 127.255.255.255 dev lo  table local  proto kernel  scope link  src 127.0.0.1
broadcast 192.168.111.255 dev eth8  table local  proto kernel  scope link  src 192.168.111.20
broadcast 172.16.0.0 dev eth1  table local  proto kernel  scope link  src 172.16.200.7
broadcast 172.17.0.0 dev eth7  table local  proto kernel  scope link  src 172.17.200.5
local 172.23.47.67 dev ppp0  table local  proto kernel  scope host  src 172.23.47.67
broadcast 172.17.255.255 dev eth7  table local  proto kernel  scope link  src 172.17.200.5
broadcast 192.168.0.0 dev eth3  table local  proto kernel  scope link  src 192.168.12.224
broadcast 192.168.15.255 dev eth3  table local  proto kernel  scope link  src 192.168.12.224
broadcast 192.168.111.0 dev eth8  table local  proto kernel  scope link  src 192.168.111.20
broadcast 172.16.255.255 dev eth1  table local  proto kernel  scope link  src 172.16.200.7
local 192.168.12.224 dev eth3  table local  proto kernel  scope host  src 192.168.12.224
local 192.168.111.20 dev eth8  table local  proto kernel  scope host  src 192.168.111.20
broadcast 127.0.0.0 dev lo  table local  proto kernel  scope link  src 127.0.0.1
local 127.0.0.1 dev lo  table local  proto kernel  scope host  src 127.0.0.1
local 127.0.0.0/8 dev lo  table local  proto kernel  scope host  src 127.0.0.1
iptables-save
Код: [Выделить]
# Generated by iptables-save v1.4.4 on Sat May 19 20:52:43 2012
*nat
:PREROUTING ACCEPT [2992596:240535270]
:OUTPUT ACCEPT [42330:3085062]
:POSTROUTING ACCEPT [9:1227]
-A PREROUTING -d 192.168.12.224/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 172.17.200.10:80
-A PREROUTING -d 172.17.200.5/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 172.17.200.10:80
-A PREROUTING -d 192.168.111.20/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 172.17.200.10:80
-A PREROUTING -d 192.168.12.224/32 -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.7.4:21
-A PREROUTING -d 192.168.12.224/32 -p tcp -m tcp --dport 50000:51000 -j DNAT --to-destination 192.168.7.4:50000-51000
-A PREROUTING -d 192.168.111.20/32 -p tcp -m tcp --dport 21 -j DNAT --to-destination 192.168.7.4:21
-A PREROUTING -d 192.168.111.20/32 -p tcp -m tcp --dport 50000:51000 -j DNAT --to-destination 192.168.7.4:50000-51000
-A PREROUTING -d 192.168.12.224/32 -p tcp -m tcp --dport 3306 -j DNAT --to-destination 172.17.200.10:3306
-A PREROUTING -d 172.17.200.5/32 -p tcp -m tcp --dport 3306 -j DNAT --to-destination 172.16.200.5:3306
-A PREROUTING -d 192.168.12.224/32 -p tcp -m tcp --dport 137 -j DNAT --to-destination 172.17.200.10:137
-A PREROUTING -d 192.168.12.224/32 -p tcp -m tcp --dport 138 -j DNAT --to-destination 172.17.200.10:138
-A PREROUTING -d 192.168.12.224/32 -p tcp -m tcp --dport 445 -j DNAT --to-destination 172.17.200.10:445
-A PREROUTING -d 172.17.200.5/32 -p tcp -m tcp --dport 137 -j DNAT --to-destination 172.17.200.10:137
-A PREROUTING -d 172.17.200.5/32 -p tcp -m tcp --dport 138 -j DNAT --to-destination 172.17.200.10:138
-A PREROUTING -d 172.17.200.5/32 -p tcp -m tcp --dport 445 -j DNAT --to-destination 172.17.200.10:445
-A PREROUTING -d 192.168.12.224/32 -p udp -m udp --dport 137 -j DNAT --to-destination 172.17.200.10:137
-A PREROUTING -d 192.168.12.224/32 -p udp -m udp --dport 138 -j DNAT --to-destination 172.17.200.10:138
-A PREROUTING -d 192.168.12.224/32 -p udp -m udp --dport 445 -j DNAT --to-destination 172.17.200.10:445
-A PREROUTING -d 172.17.200.5/32 -p udp -m udp --dport 137 -j DNAT --to-destination 172.17.200.10:137
-A PREROUTING -d 172.17.200.5/32 -p udp -m udp --dport 138 -j DNAT --to-destination 172.17.200.10:138
-A PREROUTING -d 172.17.200.5/32 -p udp -m udp --dport 445 -j DNAT --to-destination 172.17.200.10:445
-A PREROUTING -d 192.168.12.224/32 -p udp -m udp --dport 9987 -j DNAT --to-destination 172.16.200.5:9987
-A PREROUTING -d 192.168.12.224/32 -p tcp -m tcp --dport 10011 -j DNAT --to-destination 172.16.200.5:10011
-A PREROUTING -d 192.168.12.224/32 -p tcp -m tcp --dport 30033 -j DNAT --to-destination 172.16.200.5:30033
-A PREROUTING -d 192.168.12.224/32 -p tcp -m tcp --dport 2008 -j DNAT --to-destination 172.16.200.5:2008
-A PREROUTING -d 192.168.12.224/32 -p udp -m udp --dport 2010 -j DNAT --to-destination 172.16.200.5:2010
-A PREROUTING -d 192.168.12.224/32 -p tcp -m tcp --dport 41144 -j DNAT --to-destination 172.16.200.5:41144
-A PREROUTING -d 172.17.200.5/32 -p udp -m udp --dport 9987 -j DNAT --to-destination 172.16.200.5:9987
-A PREROUTING -d 172.17.200.5/32 -p tcp -m tcp --dport 10011 -j DNAT --to-destination 172.16.200.5:10011
-A PREROUTING -d 172.17.200.5/32 -p tcp -m tcp --dport 30033 -j DNAT --to-destination 172.16.200.5:30033
-A PREROUTING -d 172.17.200.5/32 -p tcp -m tcp --dport 2008 -j DNAT --to-destination 172.16.200.5:2008
-A PREROUTING -d 172.17.200.5/32 -p udp -m udp --dport 2010 -j DNAT --to-destination 172.16.200.5:2010
-A PREROUTING -d 172.17.200.5/32 -p tcp -m tcp --dport 41144 -j DNAT --to-destination 172.16.200.5:41144
-A PREROUTING -d 192.168.111.20/32 -p udp -m udp --dport 9987 -j DNAT --to-destination 172.16.200.5:9987
-A PREROUTING -d 192.168.111.20/32 -p tcp -m tcp --dport 10011 -j DNAT --to-destination 172.16.200.5:10011
-A PREROUTING -d 192.168.111.20/32 -p tcp -m tcp --dport 30033 -j DNAT --to-destination 172.16.200.5:30033
-A PREROUTING -d 192.168.111.20/32 -p tcp -m tcp --dport 2008 -j DNAT --to-destination 172.16.200.5:2008
-A PREROUTING -d 192.168.111.20/32 -p udp -m udp --dport 2010 -j DNAT --to-destination 172.16.200.5:2010
-A PREROUTING -d 192.168.111.20/32 -p tcp -m tcp --dport 41144 -j DNAT --to-destination 172.16.200.5:41144
-A PREROUTING -d 192.168.12.224/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 172.16.200.5:3389
-A PREROUTING -d 172.17.200.5/32 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 172.16.200.5:3389
-A PREROUTING -d 192.168.12.224/32 -p tcp -m tcp --dport 8000 -j DNAT --to-destination 172.16.200.5:8000
-A PREROUTING -d 172.17.200.5/32 -p tcp -m tcp --dport 8000 -j DNAT --to-destination 172.16.200.5:8000
-A PREROUTING -d 192.168.111.20/32 -p tcp -m tcp --dport 8000 -j DNAT --to-destination 172.16.200.5:8000
-A PREROUTING -d 192.168.12.224/32 -p tcp -m tcp --dport 10001 -j DNAT --to-destination 172.17.200.10:10000
-A PREROUTING -d 192.168.12.224/32 -p tcp -m tcp --dport 10002 -j DNAT --to-destination 172.16.200.15:10000
-A PREROUTING -d 172.17.200.5/32 -p tcp -m tcp --dport 10001 -j DNAT --to-destination 172.17.200.10:10000
-A PREROUTING -d 172.17.200.5/32 -p tcp -m tcp --dport 10002 -j DNAT --to-destination 172.16.200.15:10000
-A PREROUTING -d 192.168.12.224/32 -p tcp -m tcp --dport 7775 -j DNAT --to-destination 172.16.200.5:7775
-A PREROUTING -d 172.17.200.5/32 -p tcp -m tcp --dport 7775 -j DNAT --to-destination 172.16.200.5:7775
-A PREROUTING -d 192.168.111.20/32 -p tcp -m tcp --dport 7775 -j DNAT --to-destination 172.16.200.5:7775
-A PREROUTING -d 192.168.12.224/32 -p tcp -m tcp --dport 9216 -j DNAT --to-destination 172.16.200.5:9216
-A PREROUTING -d 172.17.200.5/32 -p tcp -m tcp --dport 9216 -j DNAT --to-destination 172.16.200.5:9216
-A PREROUTING -d 192.168.111.20/32 -p tcp -m tcp --dport 9216 -j DNAT --to-destination 172.16.200.5:9216
-A PREROUTING -d 192.168.12.224/32 -p tcp -m tcp --dport 9217 -j DNAT --to-destination 172.16.200.5:9217
-A PREROUTING -d 172.17.200.5/32 -p tcp -m tcp --dport 9217 -j DNAT --to-destination 172.16.200.5:9217
-A PREROUTING -d 192.168.111.20/32 -p tcp -m tcp --dport 9217 -j DNAT --to-destination 172.16.200.5:9217
-A PREROUTING -d 192.168.12.224/32 -p udp -m udp --dport 28960:28965 -j DNAT --to-destination 172.16.200.5:28960-28965
-A PREROUTING -d 172.17.200.5/32 -p udp -m udp --dport 28960:28965 -j DNAT --to-destination 172.16.200.5:28960-28965
-A PREROUTING -d 192.168.111.20/32 -p udp -m udp --dport 28960:28965 -j DNAT --to-destination 172.16.200.5:28960-28965
-A PREROUTING -d 192.168.12.224/32 -p tcp -m tcp --dport 2221 -j DNAT --to-destination 172.16.200.5:2221
-A PREROUTING -d 172.17.200.5/32 -p tcp -m tcp --dport 2221 -j DNAT --to-destination 172.16.200.5:2221
-A PREROUTING -d 192.168.111.20/32 -p tcp -m tcp --dport 2221 -j DNAT --to-destination 172.16.200.5:2221
-A PREROUTING -d 192.168.12.224/32 -p tcp -m tcp --dport 4899 -j DNAT --to-destination 192.168.20.173:4899
-A POSTROUTING -j MASQUERADE
COMMIT
# Completed on Sat May 19 20:52:43 2012
# Generated by iptables-save v1.4.4 on Sat May 19 20:52:43 2012
*filter
:INPUT ACCEPT [14340437:1113447280]
:FORWARD DROP [23357:1258044]
:OUTPUT ACCEPT [8818894:2526155184]
-A INPUT -p icmp -j ACCEPT
-A INPUT -d 127.0.0.1/32 -j ACCEPT
-A INPUT -i ppp0 -j ACCEPT
-A INPUT -s 172.16.0.0/16 -d 172.16.200.7/32 -p tcp -m tcp --dport 5555 -j ACCEPT
-A INPUT -s 172.16.0.0/16 -d 172.16.200.7/32 -p udp -m udp --dport 5555 -j ACCEPT
-A FORWARD -d 172.16.200.173/32 -j ACCEPT
-A FORWARD -s 172.16.200.173/32 -j ACCEPT
-A FORWARD -d 172.16.200.152/32 -j ACCEPT
-A FORWARD -s 172.16.200.152/32 -j ACCEPT
-A FORWARD -d 172.16.200.219/32 -j ACCEPT
-A FORWARD -s 172.16.200.219/32 -j ACCEPT
-A FORWARD -d 172.16.200.189/32 -j ACCEPT
-A FORWARD -s 172.16.200.189/32 -j ACCEPT
-A FORWARD -s 172.16.200.2/32 -j ACCEPT
-A FORWARD -d 172.16.200.2/32 -j ACCEPT
-A FORWARD -s 62.146.63.84/32 -j ACCEPT
-A FORWARD -d 62.146.63.84/32 -j ACCEPT
-A FORWARD -s 172.16.200.1/32 -j ACCEPT
-A FORWARD -d 172.16.200.1/32 -j ACCEPT
-A FORWARD -s 192.168.5.87/32 -j DROP
-A FORWARD -d 192.168.5.87/32 -j DROP
-A FORWARD -s 192.168.11.209/32 -j DROP
-A FORWARD -d 192.168.11.209/32 -j DROP
-A FORWARD -s 77.82.124.8/29 -j DROP
-A FORWARD -s 77.82.62.224/28 -j DROP
-A FORWARD -s 77.82.147.0/29 -j DROP
-A FORWARD -s 77.82.62.40/29 -j DROP
-A FORWARD -s 77.82.62.32/29 -j DROP
-A FORWARD -s 77.82.62.192/27 -j DROP
-A FORWARD -s 77.82.62.160/27 -j DROP
-A FORWARD -s 77.82.62.96/27 -j DROP
-A FORWARD -s 77.82.62.64/27 -j DROP
-A FORWARD -s 77.82.62.16/28 -j DROP
-A FORWARD -s 77.82.62.12/30 -j DROP
-A FORWARD -s 77.82.62.48/29 -j DROP
-A FORWARD -s 77.82.34.240/29 -j DROP
-A FORWARD -s 92.43.155.240/28 -j DROP
-A FORWARD -s 193.9.22.0/24 -j DROP
-A FORWARD -s 77.82.34.254/32 -j DROP
-A FORWARD -s 77.82.62.128/27 -j DROP
-A FORWARD -s 85.28.202.2/32 -j DROP
-A FORWARD -s 91.203.44.7/32 -j ACCEPT
-A FORWARD -d 91.203.44.7/32 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -j ACCEPT
-A FORWARD -d 192.168.0.0/24 -j ACCEPT
-A FORWARD -s 172.17.0.0/16 -j ACCEPT
-A FORWARD -d 172.17.0.0/16 -j ACCEPT
-A FORWARD -m iprange --src-range 85.28.192.0-85.28.255.255 -j ACCEPT
-A FORWARD -m iprange --dst-range 85.28.192.0-85.28.255.255 -j ACCEPT
-A FORWARD -m iprange --src-range 77.82.0.0-77.82.254.25 -j ACCEPT
-A FORWARD -m iprange --dst-range 77.82.0.0-77.82.254.25 -j ACCEPT
-A FORWARD -m iprange --src-range 193.124.170.0-193.124.170.255 -j ACCEPT
-A FORWARD -m iprange --dst-range 193.124.170.0-193.124.170.255 -j ACCEPT
-A FORWARD -s 192.168.0.0/20 -j ACCEPT
-A FORWARD -d 192.168.0.0/20 -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
-A OUTPUT -s 127.0.0.1/32 -j ACCEPT
-A OUTPUT -o ppp0 -j ACCEPT
-A OUTPUT -s 172.16.200.7/32 -d 172.16.0.0/16 -p tcp -m tcp --sport 5555 -j ACCEPT
-A OUTPUT -s 172.16.200.7/32 -d 172.16.0.0/16 -p udp -m udp --sport 5555 -j ACCEPT
COMMIT
# Completed on Sat May 19 20:52:43 2012
# Generated by iptables-save v1.4.4 on Sat May 19 20:52:43 2012
*mangle
:PREROUTING ACCEPT [128286217:92351921927]
:INPUT ACCEPT [14756275:1604934071]
:FORWARD ACCEPT [112365137:90684097332]
:OUTPUT ACCEPT [9192282:2559776018]
:POSTROUTING ACCEPT [121478724:93237919959]
-A PREROUTING -d 172.17.200.5/32 -j MARK --set-xmark 0x4/0xffffffff
-A PREROUTING -d 85.28.195.130/32 -j MARK --set-xmark 0x4/0xffffffff
-A PREROUTING -d 85.28.195.129/32 -j MARK --set-xmark 0x4/0xffffffff
-A PREROUTING -d 85.28.202.2/32 -j MARK --set-xmark 0x4/0xffffffff
-A PREROUTING -m iprange --dst-range 193.124.170.0-193.124.170.255 -j MARK --set-xmark 0x4/0xffffffff
-A PREROUTING -m iprange --dst-range 77.82.0.0-77.82.254.25 -j MARK --set-xmark 0x4/0xffffffff
-A PREROUTING -m iprange --dst-range 85.28.192.0-85.28.255.255 -j MARK --set-xmark 0x4/0xffffffff
-A PREROUTING -d 195.216.243.30/32 -j MARK --set-xmark 0x4/0xffffffff
-A PREROUTING -d 204.13.248.110/32 -j MARK --set-xmark 0x4/0xffffffff
-A PREROUTING -d 91.198.22.70/32 -j MARK --set-xmark 0x4/0xffffffff
-A PREROUTING -d 216.146.39.70/32 -j MARK --set-xmark 0x4/0xffffffff
-A PREROUTING -d 216.146.38.70/32 -j MARK --set-xmark 0x4/0xffffffff
-A PREROUTING -d 193.232.158.244/32 -j MARK --set-xmark 0x4/0xffffffff
-A PREROUTING -d 62.146.63.84/32 -j MARK --set-xmark 0x4/0xffffffff
-A PREROUTING -d 192.168.107.56/32 -j MARK --set-xmark 0x5/0xffffffff
-A PREROUTING -s 192.168.107.56/32 -j MARK --set-xmark 0x5/0xffffffff
-A PREROUTING -d 91.203.44.7/32 -j MARK --set-xmark 0x5/0xffffffff
-A PREROUTING -d 91.203.44.8/32 -j MARK --set-xmark 0x5/0xffffffff
-A PREROUTING -d 91.203.44.12/32 -j MARK --set-xmark 0x5/0xffffffff
-A PREROUTING -d 10.20.1.19/32 -j MARK --set-xmark 0x5/0xffffffff
-A PREROUTING -d 77.82.62.81/32 -j MARK --set-xmark 0x5/0xffffffff
-A PREROUTING -d 80.247.32.206/32 -j MARK --set-xmark 0x5/0xffffffff
COMMIT
# Completed on Sat May 19 20:52:43 201

Ну вс это седланно файлами которые были выложены постом выше.

Оффлайн koshev

  • Старожил
  • *
  • Сообщений: 1709
  • חתול המדען
    • Просмотр профиля
Re: Маршрутизатор Ubuntu+4 локалки+ppp+iptables
« Ответ #3 : 19 Мая 2012, 13:50:33 »
Цитировать
Ну вс это седланно файлами которые были выложены постом выше.
Ничего подобного. В аттаче только скрипты и конфгурация ifupdown. Результата выполнения нет (кроме ifupdown)
Далее вот что:
a) "eth3 (192.168.0.0/20) и eth8(192.168.0.0/24)" - частичное совпадение сетей  "Городской сети №1" и "Городской сети №2".
б) Нет таблицы маршрутизации "Городской сети №1"
в) Нет таблицы маршрутизации "ppp0 - МТС + USB Huawei + wvdial (доступ в интернет)".
г) Нет правил маршрутизации (ip rule) оконечных адресов интерфейсов всех провайдеров. Присутствуют только метки.
д) Куча мусора в метках ip rule.
Мне кажется для начала надо решить эти вопросы.
(Нажмите, чтобы показать/скрыть)

« Последнее редактирование: 19 Мая 2012, 20:45:20 от KT315 »
OpenWrt 19.07

Оффлайн De_ViL_kinG

  • Автор темы
  • Новичок
  • *
  • Сообщений: 26
    • Просмотр профиля
Re: Маршрутизатор Ubuntu+4 локалки+ppp+iptables
« Ответ #4 : 20 Мая 2012, 05:54:25 »
А) это я и хочу понять как мне совместить. Ставить дополнительный Маршрутизатор не очень хочется.
Б) Городская сеть №1 ... там без шлюзов ввсе работает... тоесть нет ни одного клиента за шлюзом сети... все клиенты сидят c ip адресами 192.168.0-15.0
В) ppp0 отправляет на default тоесть на 0.0.0.0 ... все что не подходит под описания других сетей
Г) Первый пост script.sh он кодом выложен... там убирается кэш... далее чистятся таблицы 5 и 4 а потом определяются шлюзы для этих таблиц... далее все делается в ip rule... тоесть MARK
Д) Да это позор.... но все лечится перезагрузкой... хотя чищу КЭШ и таблицу mangle но мусор остается (((

(Нажмите, чтобы показать/скрыть)

Оффлайн De_ViL_kinG

  • Автор темы
  • Новичок
  • *
  • Сообщений: 26
    • Просмотр профиля
Re: Маршрутизатор Ubuntu+4 локалки+ppp+iptables
« Ответ #5 : 27 Сентября 2012, 17:10:05 »
И так... прошло много времени... просто я как разобрался так и не собрался написать решение...

Значит пришло решение с небольшим лишением...

Как говорил уважаемый KT315, было частичное совпадение сетей.
Мы берем меньшую сеть (она как раз без шлюза работает) и не трогаем ее. Дальше Городскую сеть с маской 255.255.255.0. В ней существует шлюз для каждой подсети, поэтому прописываем каждую подсеть в таблицу маршрутизации.

Основная проблема была в том что основной маршрут это 0.0.0.0 лежит на ppp0 - МТС + USB Huawei + wvdial (доступ в интернет). И к примеру ip адрес 192.168.125.25, который находится в городской сети за шлюзом 192.168.111.254, ищется системой в глобале. Это мы и убрали.

Всем спасибо... Помечаю как "РЕШЕНО"
« Последнее редактирование: 28 Сентября 2012, 06:35:01 от De_ViL_kinG »
Страницы: [1]   Вверх
« предыдущая тема следующая тема »
 

Страница сгенерирована за 0.05 секунд. Запросов: 25.

© 2012 Ubuntu-ru — Русскоязычное сообщество Ubuntu Linux.
© 2012 Canonical Ltd. Ubuntu и Canonical являются зарегистрированными торговыми знаками Canonical Ltd.