Автор Тема: Статическая маршрутизация IPTABLES (Прочитано 8474 раз)

G00sha · « : 09 Мая 2010, 15:56:59 »

Приветствую всех!
Прошу помощи. Необходимо написать таблицы маршрутизации для каждого маршрутизатора (Alpha, Beta, Gamma) так, чтобы из любой подсети пакеты могли доходить до любой подсети.
Топология сети во вложении.

Гарри Кашпировский · « **Ответ #1 :** 09 Мая 2010, 16:03:41 »

В чем трудности?

G00sha · « **Ответ #2 :** 09 Мая 2010, 16:08:05 »

Инфу по iptables нашел (http://www.opennet.ru/docs/RUS/iptables/), прочитал, сижу разбираюсь. Буду очень благодарен за помощь.

Гарри Кашпировский · « **Ответ #3 :** 09 Мая 2010, 16:09:26 »

Простите, но причём тут iptables?

G00sha · « **Ответ #4 :** 09 Мая 2010, 16:12:15 »

Что, например, должно быть на роутерах Alpha и Beta, чтобы пакет (например, ping) от узла 192.168.0.5 дошел до узла 192.168.1.6?

Пользователь решил продолжить мысль 09 Мая 2010, 16:17:58:

Роутеры, в моем случае, - это компьютеры с линукс, а маршрутизация реализуется через iptables.

Гарри Кашпировский · « **Ответ #5 :** 09 Мая 2010, 16:23:54 »

Должно быть разрешено прохождение (forward) пакетов через интерфейсы
разрешается в /proc/sys/net/ipv4/ip_forward параметром 1.
И записана необходимая маршрутизация на роутерах A, B и G утилитами route или ip route.
iptables в этом случае может лишь ограничивать прохождения пакетов в цепочке FORWARD.

G00sha · « **Ответ #6 :** 09 Мая 2010, 16:31:47 »

# Beta-router
# Разрешаем прохождение служебных пакетов
iptables -A INPUT -p ICMP -j ACCEPT
iptables -A OUTPUT -p ICMP -j ACCEPT
###############################
# Разрешаем пакеты по TCP и UDP со статусом ESTABLISHED и RELATED
iptables -A INPUT -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p UDP -m state --state ESTABLISHED,RELATED -j ACCEPT
###############################################
# Удаляем все пакеты не от хостов сети 192.168.0.0/24
iptables -A INPUT -p tcp -s ! 192.168.0.0/24 -j DROP

Есть ошибки?

Пользователь решил продолжить мысль 09 Мая 2010, 16:40:08:

Спасибо огромное, Гарри Кашпировский, за то, что откликнулись!
Пожалуйста, можно подробнее, что прописать в /proc/sys/net/ipv4/ip_forward?
На A (eth0,1,2).
Айпитэблз нужно для правил доступа к ресурсам из интрасети и Интернет (в демилитаризованной подсети 192.168.1.0/24 есть WWW- и почтовый сервер), а также организовать NAT на сервере Gamma для доступа в Интернет.
Передо мной стоит задача разобраться, как это реализуется.

AnrDaemon · « **Ответ #7 :** 09 Мая 2010, 19:23:21 »

man sysctl.conf

Гарри Кашпировский · « **Ответ #8 :** 09 Мая 2010, 19:42:15 »

Вот этот пост возможно чем нибудь поможет.
G00sha, вы для начала добейтесь связности подсетей друг с другом, а потом уже iptables ковыряйте
Три роутера и четыре подсети, знаете ли, задача не совсем трудная.

G00sha · « **Ответ #9 :** 09 Мая 2010, 20:51:45 »

Правильно ли я понял, что на каждом роутере должны быть добавлены маршруты через ROUTE для объединения всех подсетей?

Т.е. для маршрутизатора Beta [192.168.1.1-eth0] [10.1.0.1-eth1] [192.168.111.2-eth2]:

# Добавляем маршрут для подсети 192.168.1.0/24 интерфейс eth0
route add -net 192.168.1.0 netmask 255.255.255.0 eth0

# Добавляем маршрут для подсети 10.1.0.0/16 интерфейс eth1
route add -net 10.1.0.0 netmask 255.255.0.0 eth1

# Добавляем маршрут для подсети 192.168.111.0 (сеть между роутерами)
route add -net 192.168.111.0 netmask 255.255.255.0 eth2

Гарри Кашпировский · « **Ответ #10 :** 09 Мая 2010, 21:02:27 »

Цитировать

Правильно ли я понял, что на каждом роутере должны быть добавлены маршруты через ROUTE для объединения всех подсетей?

Да.

Цитировать

# Добавляем маршрут для подсети 192.168.1.0/24 интерфейс eth0
route add -net 192.168.1.0 netmask 255.255.255.0 eth0

# Добавляем маршрут для подсети 10.1.0.0/16 интерфейс eth1
route add -net 10.1.0.0 netmask 255.255.0.0 eth1

# Добавляем маршрут для подсети 192.168.111.0 (сеть между роутерами)
route add -net 192.168.111.0 netmask 255.255.255.0 eth2

Верно, за исключением того, что эти маршруты уже есть, если интрефейсы сконфигурированны.
Добавить нужно маршруты.
Для Alpha
10.1.0.0/16
192.168.1.0/24
~~10.1.1.0/24~~ Заменить на другую подсеть. Пересекается с 10.1.0.0/16
Для Beta
192.168.0.0/24
~~10.1.1.0/24~~ Заменить на другую подсеть. Пересекается с 10.1.0.0/16
Для Gamma
10.1.0.0/16
192.168.0.0/24
192.168.1.0/24

baklan · « **Ответ #11 :** 09 Мая 2010, 21:07:08 »

Да, тоже хотел сказать, что в сетке 10.1.0.0/16 надо видимо поменять маску на 24

G00sha · « **Ответ #12 :** 09 Мая 2010, 21:20:15 »

Вроде сеть 10.1.0.0/16 содержит в себе сеть 10.1.1.0/24. Т.е. пересечения возникнут, если в сети 10.1.0.0/16 появятся узлы 10.1.1.1-10.1.1.254. Верно?
Данная топология рассматривается как данность, в которой ничего нельзя менять ))

Гарри Кашпировский · « **Ответ #13 :** 09 Мая 2010, 21:31:17 »

Если данность то подсеть 10.1.1.0/24 будет недоступна подсети 10.1.0.0/16.
И всем остальным подсетям будет доступен 10.1.1.0/24 из 10.1.1.0/24 а не из 10.1.0.0/16,
см route -n, маршрут с меньшей маской имеет приоритет.

G00sha · « **Ответ #14 :** 09 Мая 2010, 21:33:31 »

а если, как указал baklan, изменить маску на 255.255.255.0? Т.е. 10.1.0.0/24

Форум русскоязычного сообщества Ubuntu

Автор Тема: Статическая маршрутизация IPTABLES (Прочитано 8474 раз)

G00sha

Статическая маршрутизация IPTABLES

Гарри Кашпировский

Re: Статическая маршрутизация IPTABLES

G00sha

Re: Статическая маршрутизация IPTABLES

Гарри Кашпировский

Re: Статическая маршрутизация IPTABLES

G00sha

Re: Статическая маршрутизация IPTABLES

Гарри Кашпировский

Re: Статическая маршрутизация IPTABLES

G00sha

Re: Статическая маршрутизация IPTABLES

AnrDaemon

Re: Статическая маршрутизация IPTABLES

Гарри Кашпировский

Re: Статическая маршрутизация IPTABLES

G00sha

Re: Статическая маршрутизация IPTABLES

Гарри Кашпировский

Re: Статическая маршрутизация IPTABLES

baklan

Re: Статическая маршрутизация IPTABLES

G00sha

Re: Статическая маршрутизация IPTABLES

Гарри Кашпировский

Re: Статическая маршрутизация IPTABLES

G00sha

Re: Статическая маршрутизация IPTABLES