Автор Тема: iptables на три сети HEEELP ! (Прочитано 2192 раз)

arreyofspace · « : 04 Октября 2009, 23:12:02 »

Господа нужна ваша помощь !
Три дня вожусь с этим

Есть три сети
eth0 192.168.0.0 255.255.255.0 - внутренняя сеть
eth1 192.168.100.0 255.255.255.0 - интернет
ppp0 192.168.1.0 255.255.255.255 - VPN приходит из eth1

Нужно сделать чтобы пользователи из ppp0 видели пользователей eth0 (Могли использовать Общие принтера, папки-SAMBA ....etc )
Точнее чтобы это всё работало как одна сеть.
Я так понимаю здесь замешаны iptables
Помогите PLEEESS !!!!

Очень нужно

AnrDaemon · « **Ответ #1 :** 04 Октября 2009, 23:37:43 »

Ну для начала - ip_forward включен? Где iptables-save текущая? И какая в конце-концов версия операционки?

elfaimer · « **Ответ #2 :** 05 Октября 2009, 00:06:34 »

как-то непонятно
eth1 - интернет, но 192.168.100.0/255.255.255.0 никак не интернетовские адреса, а адреса локальной сети
куда же вы подключаетесь в таком случае через ppp0?

arreyofspace · « **Ответ #3 :** 05 Октября 2009, 01:14:35 »

Цитата: AnrDaemon от 04 Октября 2009, 23:37:43

Ну для начала - ip_forward включен? Где iptables-save текущая? И какая в конце-концов версия операционки?

ip_forward включен
Ubuntu 8.04 LTS server

В iptables я новичок раньше(пока било два интерфейса) настраивал через firestarter, теперь когда появилось ppp0 работать из ранее упомянутым firestarer не получаеться
Прилагаю вывод команды iptables -L
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- server2 anywhere tcp flags:!FIN,SYN,RST,ACK/SYN
ACCEPT udp -- server2 anywhere
ACCEPT all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere limit: avg 10/sec burst 5
DROP all -- BASE-ADDRESS.MCAST.NET/8 anywhere
DROP all -- anywhere BASE-ADDRESS.MCAST.NET/8
DROP all -- 255.255.255.255 anywhere
DROP all -- anywhere 0.0.0.0
DROP all -- anywhere anywhere state INVALID
LSI all -f anywhere anywhere limit: avg 10/min burst 5
INBOUND all -- anywhere anywhere
INBOUND all -- anywhere server2
INBOUND all -- anywhere 192.168.100.2
INBOUND all -- anywhere 192.168.0.0
LOG_FILTER all -- anywhere anywhere
LOG all -- anywhere anywhere LOG level info prefix `Unknown Input'

Chain FORWARD (policy DROP)
target prot opt source destination
ACCEPT icmp -- anywhere anywhere limit: avg 10/sec burst 5
TCPMSS tcp -- anywhere anywhere tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
OUTBOUND all -- anywhere anywhere
ACCEPT tcp -- anywhere 192.168.0.0/24 state RELATED,ESTABLISHED
ACCEPT udp -- anywhere 192.168.0.0/24 state RELATED,ESTABLISHED
LOG_FILTER all -- anywhere anywhere
LOG all -- anywhere anywhere LOG level info prefix `Unknown Forward'

Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- 192.168.100.2 server2 tcp dpt:domain
ACCEPT udp -- 192.168.100.2 server2 udp dpt:domain
ACCEPT all -- anywhere anywhere
DROP all -- BASE-ADDRESS.MCAST.NET/8 anywhere
DROP all -- anywhere BASE-ADDRESS.MCAST.NET/8
DROP all -- 255.255.255.255 anywhere
DROP all -- anywhere 0.0.0.0
DROP all -- anywhere anywhere state INVALID
OUTBOUND all -- anywhere anywhere
OUTBOUND all -- anywhere anywhere
LOG_FILTER all -- anywhere anywhere
LOG all -- anywhere anywhere LOG level info prefix `Unknown Output'

Chain INBOUND (4 references)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT udp -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- 192.168.0.0/24 anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:www
ACCEPT udp -- anywhere anywhere udp dpt:www
ACCEPT tcp -- anywhere anywhere tcp dpts:6881:6882
ACCEPT udp -- anywhere anywhere udp dpts:6881:6882
LSI all -- anywhere anywhere

Chain LOG_FILTER (5 references)
target prot opt source destination

Chain LSI (2 references)
target prot opt source destination
LOG_FILTER all -- anywhere anywhere
LOG tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN limit: avg 1/sec burst 5 LOG level info prefix `Inbound '
DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN
LOG tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5 LOG level info prefix `Inbound '
DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/RST
LOG icmp -- anywhere anywhere icmp echo-request limit: avg 1/sec burst 5 LOG level info prefix `Inbound '
DROP icmp -- anywhere anywhere icmp echo-request
LOG all -- anywhere anywhere limit: avg 5/sec burst 5 LOG level info prefix `Inbound '
DROP all -- anywhere anywhere

Chain LSO (0 references)
target prot opt source destination
LOG_FILTER all -- anywhere anywhere
LOG all -- anywhere anywhere limit: avg 5/sec burst 5 LOG level info prefix `Outbound '
REJECT all -- anywhere anywhere reject-with icmp-port-unreachable

Chain OUTBOUND (3 references)
target prot opt source destination
ACCEPT icmp -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT udp -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT all -- anywhere anywhere

elfaimer · « **Ответ #4 :** 05 Октября 2009, 01:38:24 »

в вашем случае основную роль должна сыграть таблица nat а вы показали цепочки из таблицы filter, которые служат для фильтрации пакетов.
И давайте расставим точки над "и" в конфигурации вашей сети. Вы хотите, чтобы люди из интернета могли видеть машины вашей личной локальной сети? Если да и вы подключены к интернету через vpn (ppp0 с айпи 192.168.1.0), то у вас это сделать не получится, если у вас нету поддерживаемого провайдером статического айпи. А вообще телепатией заниматься не хочется. Давайте, пожалуйста, полную информацию, а не вывод ничего не значимых команд
Продемонстрируйте, пожалуйста, выводы следующих команд

Код: [Выделить]

sudo iptables -L -t nat

Код: [Выделить]

ifconfig -a

Код: [Выделить]

cat /etc/network/interfaces

Код: [Выделить]

route -n

arreyofspace · « **Ответ #5 :** 05 Октября 2009, 08:27:09 »

К интернету подключен через eth2 не через ppp0, ppp0 ,бил создан для подключения пользователей из вне к локальной сети, ip статистический у роутера (подключен через к eth2) через ssh из дому подключаюсь свободно

sudo iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

cat /etc/network/interfaces
# The primary network interface
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
   address 192.168.0.5
   netmask 255.255.255.0
   broadcast 192.168.0.0
   network   192.168.0.0

iface eth2 inet static # интернет
address 192.168.100.2
netmask 255.255.255.0
gateway 192.168.100.1

auto eth2

route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.100.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
169.254.0.0 0.0.0.0 255.255.0.0 U 1000 0 0 eth0
0.0.0.0 192.168.100.1 0.0.0.0 UG 100 0 0 eth2

Пользователь решил продолжить мысль 05 Октября 2009, 03:41:09:

А это когда подключен VPN клиент

ifconfig

eth0 Link encap:Ethernet HWaddr 00:19:66:e8:28:81
inet addr:192.168.0.5 Bcast:192.168.0.0 Mask:255.255.255.0
inet6 addr: fe80::219:66ff:fee8:2881/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:525949 errors:0 dropped:0 overruns:0 frame:0
TX packets:1061537 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:42005373 (40.0 MB) TX bytes:1548697491 (1.4 GB)
Interrupt:253 Base address:0xa000

eth2 Link encap:Ethernet HWaddr 00:06:4f:5e:80:ca
inet addr:192.168.100.2 Bcast:192.168.100.255 Mask:255.255.255.0
inet6 addr: fe80::206:4fff:fe5e:80ca/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:176179 errors:0 dropped:0 overruns:0 frame:0
TX packets:203062 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:109865212 (104.7 MB) TX bytes:87513353 (83.4 MB)
Interrupt:22 Base address:0xcc00

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:14431 errors:0 dropped:0 overruns:0 frame:0
TX packets:14431 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:4488308 (4.2 MB) TX bytes:4488308 (4.2 MB)

ppp0 Link encap:Point-to-Point Protocol
inet addr:192.168.0.8 P-t-P:192.168.0.234 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1396 Metric:1
RX packets:25 errors:0 dropped:0 overruns:0 frame:0
TX packets:10 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:2026 (1.9 KB) TX bytes:140 (140.0 B)

route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.0.234 0.0.0.0 255.255.255.255 UH 0 0 0 ppp0
192.168.100.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
169.254.0.0 0.0.0.0 255.255.0.0 U 1000 0 0 eth0
0.0.0.0 192.168.100.1 0.0.0.0 UG 100 0 0 eth2

Подклучения VPN проходит нормально без firewoll Но розшареных ресурсов не видит

Пользователь решил продолжить мысль 05 Октября 2009, 06:13:26:

Вот нашел конфигурацию iptables (посмотрел в webmin)

# Generated by iptables-save v1.3.8 on Mon Oct 5 07:45:18 2009
*nat
:PREROUTING ACCEPT [507:40058]
:POSTROUTING ACCEPT [51:3329]
:OUTPUT ACCEPT [185:12639]
-A POSTROUTING -o eth2 -j MASQUERADE
COMMIT
# Completed on Mon Oct 5 07:45:18 2009
# Generated by iptables-save v1.3.8 on Mon Oct 5 07:45:18 2009
*mangle
:PREROUTING ACCEPT [2393:586545]
:INPUT ACCEPT [1378:212645]
:FORWARD ACCEPT [1004:373460]
:OUTPUT ACCEPT [1166:199800]
:POSTROUTING ACCEPT [2175:573650]
COMMIT
# Completed on Mon Oct 5 07:45:18 2009
# Generated by iptables-save v1.3.8 on Mon Oct 5 07:45:18 2009
*filter
:INPUT DROP [156:17754]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:INBOUND - [0:0]
:LOG_FILTER - [0:0]
:LSI - [0:0]
:LSO - [0:0]
:OUTBOUND - [0:0]
-A INPUT -s 192.168.0.5 -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -s 192.168.0.5 -p udp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p icmp -m limit --limit 10/sec -j ACCEPT
-A INPUT -s 224.0.0.0/255.0.0.0 -j DROP
-A INPUT -d 224.0.0.0/255.0.0.0 -j DROP
-A INPUT -s 255.255.255.255 -j DROP
-A INPUT -d 0.0.0.0 -j DROP
-A INPUT -m state --state INVALID -j DROP
-A INPUT -f -m limit --limit 10/min -j LSI
-A INPUT -i eth2 -j INBOUND
-A INPUT -d 192.168.0.5 -i eth0 -j INBOUND
-A INPUT -d 192.168.100.2 -i eth0 -j INBOUND
-A INPUT -d 192.168.0.0 -i eth0 -j INBOUND
-A INPUT -j LOG_FILTER
-A INPUT -j LOG --log-prefix "Unknown Input" --log-level 6
-A FORWARD -p icmp -m limit --limit 10/sec -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -i eth0 -j OUTBOUND
-A FORWARD -d 192.168.0.0/255.255.255.0 -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.0.0/255.255.255.0 -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -j LOG_FILTER
-A FORWARD -j LOG --log-prefix "Unknown Forward" --log-level 6
-A OUTPUT -s 192.168.100.2 -d 192.168.0.5 -p tcp -m tcp --dport 53 -j ACCEPT
-A OUTPUT -s 192.168.100.2 -d 192.168.0.5 -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -s 224.0.0.0/255.0.0.0 -j DROP
-A OUTPUT -d 224.0.0.0/255.0.0.0 -j DROP
-A OUTPUT -s 255.255.255.255 -j DROP
-A OUTPUT -d 0.0.0.0 -j DROP
-A OUTPUT -m state --state INVALID -j DROP
-A OUTPUT -o eth2 -j OUTBOUND
-A OUTPUT -o eth0 -j OUTBOUND
-A OUTPUT -j LOG_FILTER
-A OUTPUT -j LOG --log-prefix "Unknown Output" --log-level 6
-A INBOUND -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INBOUND -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INBOUND -s 192.168.0.0/255.255.255.0 -j ACCEPT
-A INBOUND -p tcp -m tcp --dport 80 -j ACCEPT
-A INBOUND -p udp -m udp --dport 80 -j ACCEPT
-A INBOUND -p tcp -m tcp --dport 6881:6882 -j ACCEPT
-A INBOUND -p udp -m udp --dport 6881:6882 -j ACCEPT
-A INBOUND -j LSI
-A LSI -j LOG_FILTER
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 1/sec -j LOG --log-prefix "Inbound " --log-level 6
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -m limit --limit 1/sec -j LOG --log-prefix "Inbound " --log-level 6
-A LSI -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -j DROP
-A LSI -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j LOG --log-prefix "Inbound " --log-level 6
-A LSI -p icmp -m icmp --icmp-type 8 -j DROP
-A LSI -m limit --limit 5/sec -j LOG --log-prefix "Inbound " --log-level 6
-A LSI -j DROP
-A LSO -j LOG_FILTER
-A LSO -m limit --limit 5/sec -j LOG --log-prefix "Outbound " --log-level 6
-A LSO -j REJECT --reject-with icmp-port-unreachable
-A OUTBOUND -p icmp -j ACCEPT
-A OUTBOUND -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTBOUND -p udp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTBOUND -j ACCEPT
COMMIT
# Completed on Mon Oct 5 07:45:18 2009

Пользователь решил продолжить мысль 05 Октября 2009, 08:34:05:

Меня очень смущает маска ppp0 255.255.255.255
Может не получается потому что остальные сети имеют 255.255.255.0

Пользователь решил продолжить мысль 05 Октября 2009, 15:13:17:

Господа неужели никто не знает как решить ету проблему

Есть три сети eth0 eth2 ppp0
Нужно чтобы две из них eth0 и ppp0 видели друг друга (SAMBA .....etc)

Очень надеюсь на вашу помощь
Спасибо

elfaimer · « **Ответ #6 :** 05 Октября 2009, 15:21:57 »

для ppp0 и должна быть такая маска
попробуйте для начала очистить вашу таблицу iptables и установить разрешающие политики

Код: [Выделить]

sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
sudo iptables -t nat -P PREROUTING ACCEPT
sudo iptables -t nat -P POSTROUTING ACCEPT
sudo iptables -t nat -P OUTPUT ACCEPT
sudo iptables -t mangle -P PREROUTING ACCEPT
sudo iptables -t mangle -P OUTPUT ACCEPT
sudo iptables -F
sudo iptables -t nat -F
sudo iptables -t mangle -F
sudo iptables -X
sudo iptables -t nat -X
sudo iptables -t mangle -X

потом на машинах, которые хотят поппасть в вашу локальную сеть через ppp0, прописать маршруты. Допустим, если кто-то хочет попасть в вашу локальную сеть на 192.168.0.15, то написать маршрут

Код: [Выделить]

sudo route add -host 192.168.0.15 gw 192.168.0.8

потом добавить в iptables что-то типа

Код: [Выделить]

sudo iptables -t nat -A POSTROUTING -s диапазон_айпишников_клиентов -o eth0 -j SNAT --to-source 192.168.0.5

Экспериментируйте!
а какой диапазон айпи у сети за ppp0? Плохо, если они будут перекрываться с сетью eth0
хотя может в iptables никаких пробросов делать не надо будет. Все зависит от айпи адресов ваших подсетей. Главное граммотно настроить маршрутизацию

Форум русскоязычного сообщества Ubuntu

Автор Тема: iptables на три сети HEEELP ! (Прочитано 2192 раз)

arreyofspace

iptables на три сети HEEELP !

AnrDaemon

Re: iptables на три сети HEEELP !

elfaimer

Re: iptables на три сети HEEELP !

arreyofspace

Re: iptables на три сети HEEELP !

elfaimer

Re: iptables на три сети HEEELP !

arreyofspace

Re: iptables на три сети HEEELP !

elfaimer

Re: iptables на три сети HEEELP !