Форум русскоязычного сообщества Ubuntu


Получить помощь и пообщаться с другими пользователями Ubuntu можно
на irc канале #ubuntu-ru в сети Freenode
и в Jabber конференции ubuntu@conference.jabber.ru

Автор Тема: iptables на три сети HEEELP !  (Прочитано 1274 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн arreyofspace

  • Автор темы
  • Новичок
  • *
  • Сообщений: 22
    • Просмотр профиля
iptables на три сети HEEELP !
« : 04 Октября 2009, 23:12:02 »
Господа нужна ваша помощь !
Три дня вожусь с этим

Есть три сети
eth0   192.168.0.0            255.255.255.0 - внутренняя сеть
eth1   192.168.100.0       255.255.255.0 - интернет
ppp0  192.168.1.0           255.255.255.255 - VPN приходит из eth1

Нужно сделать чтобы пользователи из ppp0 видели пользователей eth0 (Могли использовать Общие принтера, папки-SAMBA ....etc )
Точнее чтобы это всё работало как одна сеть.
Я так понимаю здесь замешаны iptables
Помогите PLEEESS !!!!  :'( :'( :'( :'( :'( :'( :'( Очень нужно  :-[

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28337
    • Просмотр профиля
Re: iptables на три сети HEEELP !
« Ответ #1 : 04 Октября 2009, 23:37:43 »
Ну для начала - ip_forward включен? Где iptables-save текущая? И какая в конце-концов версия операционки?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн elfaimer

  • Новичок
  • *
  • Сообщений: 42
    • Просмотр профиля
Re: iptables на три сети HEEELP !
« Ответ #2 : 05 Октября 2009, 00:06:34 »
как-то непонятно
eth1 - интернет, но 192.168.100.0/255.255.255.0 никак не интернетовские адреса, а адреса локальной сети
куда же вы подключаетесь в таком случае через ppp0?

Оффлайн arreyofspace

  • Автор темы
  • Новичок
  • *
  • Сообщений: 22
    • Просмотр профиля
Re: iptables на три сети HEEELP !
« Ответ #3 : 05 Октября 2009, 01:14:35 »
Ну для начала - ip_forward включен? Где iptables-save текущая? И какая в конце-концов версия операционки?

 ip_forward включен
Ubuntu 8.04 LTS server

В iptables я новичок раньше(пока било два интерфейса) настраивал через firestarter, теперь когда появилось ppp0 работать из ранее упомянутым firestarer не получаеться
Прилагаю вывод команды iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     tcp  --  server2              anywhere            tcp flags:!FIN,SYN,RST,ACK/SYN
ACCEPT     udp  --  server2              anywhere           
ACCEPT     all  --  anywhere             anywhere           
ACCEPT     icmp --  anywhere             anywhere            limit: avg 10/sec burst 5
DROP       all  --  BASE-ADDRESS.MCAST.NET/8  anywhere           
DROP       all  --  anywhere             BASE-ADDRESS.MCAST.NET/8
DROP       all  --  255.255.255.255      anywhere           
DROP       all  --  anywhere             0.0.0.0             
DROP       all  --  anywhere             anywhere            state INVALID
LSI        all  -f  anywhere             anywhere            limit: avg 10/min burst 5
INBOUND    all  --  anywhere             anywhere           
INBOUND    all  --  anywhere             server2             
INBOUND    all  --  anywhere             192.168.100.2       
INBOUND    all  --  anywhere             192.168.0.0         
LOG_FILTER  all  --  anywhere             anywhere           
LOG        all  --  anywhere             anywhere            LOG level info prefix `Unknown Input'

Chain FORWARD (policy DROP)
target     prot opt source               destination         
ACCEPT     icmp --  anywhere             anywhere            limit: avg 10/sec burst 5
TCPMSS     tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
OUTBOUND   all  --  anywhere             anywhere           
ACCEPT     tcp  --  anywhere             192.168.0.0/24      state RELATED,ESTABLISHED
ACCEPT     udp  --  anywhere             192.168.0.0/24      state RELATED,ESTABLISHED
LOG_FILTER  all  --  anywhere             anywhere           
LOG        all  --  anywhere             anywhere            LOG level info prefix `Unknown Forward'

Chain OUTPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     tcp  --  192.168.100.2        server2             tcp dpt:domain
ACCEPT     udp  --  192.168.100.2        server2             udp dpt:domain
ACCEPT     all  --  anywhere             anywhere           
DROP       all  --  BASE-ADDRESS.MCAST.NET/8  anywhere           
DROP       all  --  anywhere             BASE-ADDRESS.MCAST.NET/8
DROP       all  --  255.255.255.255      anywhere           
DROP       all  --  anywhere             0.0.0.0             
DROP       all  --  anywhere             anywhere            state INVALID
OUTBOUND   all  --  anywhere             anywhere           
OUTBOUND   all  --  anywhere             anywhere           
LOG_FILTER  all  --  anywhere             anywhere           
LOG        all  --  anywhere             anywhere            LOG level info prefix `Unknown Output'

Chain INBOUND (4 references)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     udp  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     all  --  192.168.0.0/24       anywhere           
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www
ACCEPT     udp  --  anywhere             anywhere            udp dpt:www
ACCEPT     tcp  --  anywhere             anywhere            tcp dpts:6881:6882
ACCEPT     udp  --  anywhere             anywhere            udp dpts:6881:6882
LSI        all  --  anywhere             anywhere           

Chain LOG_FILTER (5 references)
target     prot opt source               destination         

Chain LSI (2 references)
target     prot opt source               destination         
LOG_FILTER  all  --  anywhere             anywhere           
LOG        tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/SYN limit: avg 1/sec burst 5 LOG level info prefix `Inbound '
DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/SYN
LOG        tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5 LOG level info prefix `Inbound '
DROP       tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/RST
LOG        icmp --  anywhere             anywhere            icmp echo-request limit: avg 1/sec burst 5 LOG level info prefix `Inbound '
DROP       icmp --  anywhere             anywhere            icmp echo-request
LOG        all  --  anywhere             anywhere            limit: avg 5/sec burst 5 LOG level info prefix `Inbound '
DROP       all  --  anywhere             anywhere           

Chain LSO (0 references)
target     prot opt source               destination         
LOG_FILTER  all  --  anywhere             anywhere           
LOG        all  --  anywhere             anywhere            limit: avg 5/sec burst 5 LOG level info prefix `Outbound '
REJECT     all  --  anywhere             anywhere            reject-with icmp-port-unreachable

Chain OUTBOUND (3 references)
target     prot opt source               destination         
ACCEPT     icmp --  anywhere             anywhere           
ACCEPT     tcp  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     udp  --  anywhere             anywhere            state RELATED,ESTABLISHED
ACCEPT     all  --  anywhere             anywhere   

Оффлайн elfaimer

  • Новичок
  • *
  • Сообщений: 42
    • Просмотр профиля
Re: iptables на три сети HEEELP !
« Ответ #4 : 05 Октября 2009, 01:38:24 »
в вашем случае основную роль должна сыграть таблица nat а вы показали цепочки из таблицы filter, которые служат для фильтрации пакетов.
И давайте расставим точки над "и" в конфигурации вашей сети. Вы хотите, чтобы люди из интернета могли видеть машины вашей личной локальной сети? Если да и вы подключены к интернету через vpn (ppp0 с айпи 192.168.1.0), то у вас это сделать не получится, если у вас нету поддерживаемого провайдером статического айпи. А вообще телепатией заниматься не хочется. Давайте, пожалуйста, полную информацию, а не вывод ничего не значимых команд
Продемонстрируйте, пожалуйста, выводы следующих команд
sudo iptables -L -t nat
ifconfig -a
cat /etc/network/interfaces
route -n
« Последнее редактирование: 05 Октября 2009, 01:52:10 от liberty »

Оффлайн arreyofspace

  • Автор темы
  • Новичок
  • *
  • Сообщений: 22
    • Просмотр профиля
Re: iptables на три сети HEEELP !
« Ответ #5 : 05 Октября 2009, 08:27:09 »
К интернету подключен через eth2 не через ppp0, ppp0 ,бил создан для подключения пользователей из вне к локальной сети,  ip статистический у роутера (подключен через к eth2) через ssh из дому подключаюсь свободно

sudo iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination         

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination         
MASQUERADE  all  --  anywhere             anywhere           

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination


cat /etc/network/interfaces
# The primary network interface
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
   address 192.168.0.5
   netmask 255.255.255.0
   broadcast 192.168.0.0
   network   192.168.0.0

iface eth2 inet static   # интернет
address 192.168.100.2
netmask 255.255.255.0
gateway 192.168.100.1

auto eth2


route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.100.0   0.0.0.0         255.255.255.0   U     0      0        0 eth2
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 eth0
0.0.0.0         192.168.100.1   0.0.0.0         UG    100    0        0 eth2


Пользователь решил продолжить мысль 05 Октября 2009, 03:41:09:
А это когда подключен VPN клиент  :idiot2:

ifconfig

eth0      Link encap:Ethernet  HWaddr 00:19:66:e8:28:81 
          inet addr:192.168.0.5  Bcast:192.168.0.0  Mask:255.255.255.0
          inet6 addr: fe80::219:66ff:fee8:2881/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:525949 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1061537 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:42005373 (40.0 MB)  TX bytes:1548697491 (1.4 GB)
          Interrupt:253 Base address:0xa000

eth2      Link encap:Ethernet  HWaddr 00:06:4f:5e:80:ca 
          inet addr:192.168.100.2  Bcast:192.168.100.255  Mask:255.255.255.0
          inet6 addr: fe80::206:4fff:fe5e:80ca/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:176179 errors:0 dropped:0 overruns:0 frame:0
          TX packets:203062 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:109865212 (104.7 MB)  TX bytes:87513353 (83.4 MB)
          Interrupt:22 Base address:0xcc00

lo        Link encap:Local Loopback 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:14431 errors:0 dropped:0 overruns:0 frame:0
          TX packets:14431 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:4488308 (4.2 MB)  TX bytes:4488308 (4.2 MB)

ppp0      Link encap:Point-to-Point Protocol 
          inet addr:192.168.0.8  P-t-P:192.168.0.234  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1396  Metric:1
          RX packets:25 errors:0 dropped:0 overruns:0 frame:0
          TX packets:10 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:2026 (1.9 KB)  TX bytes:140 (140.0 B)

route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.0.234   0.0.0.0         255.255.255.255 UH      0      0        0 ppp0
192.168.100.0   0.0.0.0         255.255.255.0      U         0      0        0 eth2
192.168.0.0       0.0.0.0         255.255.255.0      U          0      0        0 eth0
169.254.0.0       0.0.0.0         255.255.0.0           U      1000   0        0 eth0
0.0.0.0         192.168.100.1   0.0.0.0                    UG    100    0        0 eth2


Подклучения VPN проходит нормально без firewoll Но розшареных ресурсов не видит  :'( :'( :'( :'(

Пользователь решил продолжить мысль 05 Октября 2009, 06:13:26:
Вот нашел конфигурацию iptables (посмотрел в webmin)

# Generated by iptables-save v1.3.8 on Mon Oct  5 07:45:18 2009
*nat
:PREROUTING ACCEPT [507:40058]
:POSTROUTING ACCEPT [51:3329]
:OUTPUT ACCEPT [185:12639]
-A POSTROUTING -o eth2 -j MASQUERADE
COMMIT
# Completed on Mon Oct  5 07:45:18 2009
# Generated by iptables-save v1.3.8 on Mon Oct  5 07:45:18 2009
*mangle
:PREROUTING ACCEPT [2393:586545]
:INPUT ACCEPT [1378:212645]
:FORWARD ACCEPT [1004:373460]
:OUTPUT ACCEPT [1166:199800]
:POSTROUTING ACCEPT [2175:573650]
COMMIT
# Completed on Mon Oct  5 07:45:18 2009
# Generated by iptables-save v1.3.8 on Mon Oct  5 07:45:18 2009
*filter
:INPUT DROP [156:17754]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:INBOUND - [0:0]
:LOG_FILTER - [0:0]
:LSI - [0:0]
:LSO - [0:0]
:OUTBOUND - [0:0]
-A INPUT -s 192.168.0.5 -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -s 192.168.0.5 -p udp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -m limit --limit 10/sec -j ACCEPT
-A INPUT -s 224.0.0.0/255.0.0.0 -j DROP
-A INPUT -d 224.0.0.0/255.0.0.0 -j DROP
-A INPUT -s 255.255.255.255 -j DROP
-A INPUT -d 0.0.0.0 -j DROP
-A INPUT -m state --state INVALID -j DROP
-A INPUT -f -m limit --limit 10/min -j LSI
-A INPUT -i eth2 -j INBOUND
-A INPUT -d 192.168.0.5 -i eth0 -j INBOUND
-A INPUT -d 192.168.100.2 -i eth0 -j INBOUND
-A INPUT -d 192.168.0.0 -i eth0 -j INBOUND
-A INPUT -j LOG_FILTER
-A INPUT -j LOG --log-prefix "Unknown Input" --log-level 6
-A FORWARD -p icmp -m limit --limit 10/sec -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -i eth0 -j OUTBOUND
-A FORWARD -d 192.168.0.0/255.255.255.0 -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.0.0/255.255.255.0 -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j LOG_FILTER
-A FORWARD -j LOG --log-prefix "Unknown Forward" --log-level 6
-A OUTPUT -s 192.168.100.2 -d 192.168.0.5 -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -s 192.168.100.2 -d 192.168.0.5 -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -s 224.0.0.0/255.0.0.0 -j DROP
-A OUTPUT -d 224.0.0.0/255.0.0.0 -j DROP
-A OUTPUT -s 255.255.255.255 -j DROP
-A OUTPUT -d 0.0.0.0 -j DROP
-A OUTPUT -m state --state INVALID -j DROP
-A OUTPUT -o eth2 -j OUTBOUND
-A OUTPUT -o eth0 -j OUTBOUND
-A OUTPUT -j LOG_FILTER
-A OUTPUT -j LOG --log-prefix "Unknown Output" --log-level 6
-A INBOUND -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INBOUND -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INBOUND -s 192.168.0.0/255.255.255.0 -j ACCEPT
-A INBOUND -p tcp -m tcp --dport 80 -j ACCEPT
-A INBOUND -p udp -m udp --dport 80 -j ACCEPT
-A INBOUND -p tcp -m tcp --dport 6881:6882 -j ACCEPT
-A INBOUND -p udp -m udp --dport 6881:6882 -j ACCEPT
-A INBOUND -j LSI
-A LSI -j LOG_FILTER
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j LOG --log-prefix "Inbound " --log-level 6
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j LOG --log-prefix "Inbound " --log-level 6
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -j DROP
-A LSI -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j LOG --log-prefix "Inbound " --log-level 6
-A LSI -p icmp -m icmp --icmp-type 8 -j DROP
-A LSI -m limit --limit 5/sec -j LOG --log-prefix "Inbound " --log-level 6
-A LSI -j DROP
-A LSO -j LOG_FILTER
-A LSO -m limit --limit 5/sec -j LOG --log-prefix "Outbound " --log-level 6
-A LSO -j REJECT --reject-with icmp-port-unreachable
-A OUTBOUND -p icmp -j ACCEPT
-A OUTBOUND -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTBOUND -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTBOUND -j ACCEPT
COMMIT
# Completed on Mon Oct  5 07:45:18 2009


Пользователь решил продолжить мысль 05 Октября 2009, 08:34:05:
Меня очень смущает маска ppp0 255.255.255.255
Может не получается потому что остальные сети имеют  255.255.255.0
 :idiot2: :idiot2: :idiot2: :idiot2:

Пользователь решил продолжить мысль 05 Октября 2009, 15:13:17:
Господа неужели никто не знает как решить ету проблему  :-[ :-[

Есть три сети eth0 eth2 ppp0
Нужно чтобы две из них eth0 и ppp0 видели друг друга (SAMBA .....etc)

Очень надеюсь на вашу помощь
Спасибо
« Последнее редактирование: 05 Октября 2009, 15:13:18 от arreyofspace »

Оффлайн elfaimer

  • Новичок
  • *
  • Сообщений: 42
    • Просмотр профиля
Re: iptables на три сети HEEELP !
« Ответ #6 : 05 Октября 2009, 15:21:57 »
для ppp0 и должна быть такая маска
попробуйте для начала очистить вашу таблицу iptables и установить разрешающие политики
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
sudo iptables -t nat -P PREROUTING ACCEPT
sudo iptables -t nat -P POSTROUTING ACCEPT
sudo iptables -t nat -P OUTPUT ACCEPT
sudo iptables -t mangle -P PREROUTING ACCEPT
sudo iptables -t mangle -P OUTPUT ACCEPT
sudo iptables -F
sudo iptables -t nat -F
sudo iptables -t mangle -F
sudo iptables -X
sudo iptables -t nat -X
sudo iptables -t mangle -X
потом на машинах, которые хотят поппасть в вашу локальную сеть через ppp0, прописать маршруты. Допустим, если кто-то хочет попасть в вашу локальную сеть на 192.168.0.15, то написать маршрут
sudo route add -host 192.168.0.15 gw 192.168.0.8
потом добавить в iptables что-то типа
sudo iptables -t nat -A POSTROUTING -s диапазон_айпишников_клиентов -o eth0 -j SNAT --to-source 192.168.0.5
Экспериментируйте!
а какой диапазон айпи у сети за ppp0? Плохо, если они будут перекрываться с сетью eth0
хотя может в iptables никаких пробросов делать не надо будет. Все зависит от айпи адресов ваших подсетей. Главное граммотно настроить маршрутизацию
« Последнее редактирование: 05 Октября 2009, 15:36:45 от liberty »

 

Страница сгенерирована за 0.036 секунд. Запросов: 23.