Logo Море(!) аналитической информации!
IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware
Архив форумов ЦИТФорума
Море(!) вопросов - Море(!) ответов
 
 FAQFAQ   ПоискПоиск   ПользователиПользователи   ГруппыГруппы   РегистрацияРегистрация 
 ПрофильПрофиль   Войти и проверить личные сообщенияВойти и проверить личные сообщения   ВходВход 
Как правильно задавать вопросы

настройка шлюза

 
Перейти:  
Этот форум закрыт, вы не можете писать новые сообщения и редактировать старые.   Эта тема закрыта, вы не можете писать ответы и редактировать сообщения.    Список форумов Архив форумов ЦИТФорума -> Unix
Предыдущая тема :: Следующая тема  
Автор Сообщение
Dimasm



Зарегистрирован: 25.04.2005
Сообщения: 454

СообщениеДобавлено: Чт Апр 12 2007 19:28    Заголовок сообщения: настройка шлюза Ответить с цитатой

Собираю шлюзик один
для настройки собрал одну схему
Код:
       PC1:192.168.120.25/255.255.255.224
                   |
                   |
Gate  eth0:192.168.120.30/255.255.255.224
      eth2:192.168.14.2  /255.255.255.0    -- {другая сеть}
      eth1:192.168.1.2   /255.255.255.0
                   |
                   |
       PC2:192.168.1.1/255.255.255.0


PC1 - гипотетический пользовательский ПК локальной сети организации
Gate - шлюз доступа в интернет и в соседнюю сетку
PC2 - типа интернет шлюз
в eth2 пока ничего не воткнуто

сделал простейший кофиг iptables

Код:
*** touch /var/lock/subsys/local ***
echo 1 > /proc/sys/net/ipv4/conf/all/forwarding
iptables="/sbin/iptables"
#delete exsist rule
$iptables -F
$iptables -X

#default politics
$iptables -P INPUT   ACCEPT
$iptables -P OUTPUT  ACCEPT
$iptables -P FORWARD ACCEPT

$iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.1.2
***********************************

Раньше аналогичный конфиг работал нормально
пробую пинговать
192.168.120.25 -> 192.168.120.30 - Ok
192.168.120.25 -> 192.168.1.2 - Ok
192.168.120.25 -> 192.168.1.1 - превышено время...
причём 192.168.1.1 - это WinXP с OutPost (в выключеном режиме)
и на мониторе видно, что пакеты приходят с адреса 192.168.120.25

пробую пинговать 192.168.1.2 -> 192.168.1.1 всё ОК
[root@localhost rc.d]# ping 192.168.1.2
PING 192.168.1.2 (192.168.1.2) 56(84) bytes of data.
64 bytes from 192.168.1.2: icmp_seq=0 ttl=64 time=0.207 ms
64 bytes from 192.168.1.2: icmp_seq=1 ttl=64 time=0.196 ms

пробую по NetBIOS залесть с 192.168.120.25 -> 192.168.1.1 - мёртво

Что я упустил?

SentOS 4.3
вот конфигурация, я некоторое поурезал
Код:
[root@localhost rc.d]# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:80:48:36:D2:AA
          inet addr:192.168.120.30  Bcast:192.168.120.31  Mask:255.255.255.224
          RX bytes:693405 (677.1 KiB)  TX bytes:436079 (425.8 KiB)
          Interrupt:11 Base address:0xe400

eth0:0    Link encap:Ethernet  HWaddr 00:80:48:36:D2:AA
          inet addr:192.168.120.29  Bcast:192.168.120.31  Mask:255.255.255.224
          Interrupt:11 Base address:0xe400

eth1      Link encap:Ethernet  HWaddr 00:E0:4C:99:14:B4
          inet addr:192.168.1.2  Bcast:192.168.1.255  Mask:255.255.255.0
          RX bytes:26027 (25.4 KiB)  TX bytes:7940 (7.7 KiB)
          Interrupt:12 Base address:0xe800

eth2      Link encap:Ethernet  HWaddr 00:15:E9:3D:18:7F
          inet addr:192.168.14.200  Bcast:192.168.14.255  Mask:255.255.255.0
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)
          Interrupt:5 Base address:0x6000

[root@localhost rc.d]# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.120.0   *               255.255.255.224 U     0      0        0 eth0
192.168.1.0     192.168.1.1     255.255.255.0   UG    0      0        0 eth1
192.168.1.0     *               255.255.255.0   U     0      0        0 eth1
192.168.14.0    *               255.255.255.0   U     0      0        0 eth2
169.254.0.0     *               255.255.0.0     U     0      0        0 eth2
default         192.168.14.1    0.0.0.0         UG    0      0        0 eth2

_________________
С уважением Dimasm
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Dragner



Зарегистрирован: 27.07.2006
Сообщения: 760
Откуда: Владивосток

СообщениеДобавлено: Пт Апр 13 2007 05:28    Заголовок сообщения: Ответить с цитатой

как я понял все eth0-2 на одной машине. Тогда вот это логично
Цитата:
192.168.120.25 -> 192.168.1.2 - Ok
Вопрос у меня такой, а вот это как
Код:
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.1.0     192.168.1.1     255.255.255.0   UG    0      0        0 eth1
почему в качестве шлюза стоит комп под виндой? Есил шлюз этот
Цитата:
Gate eth1:192.168.1.2 /255.255.255.0
и как видно, что к винде пакеты проходят? если я не прав, то сильно по голове не бейте, *nix системы только начал изучать.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Sol



Зарегистрирован: 05.12.2003
Сообщения: 427
Откуда: Томск

СообщениеДобавлено: Пт Апр 13 2007 06:12    Заголовок сообщения: Ответить с цитатой

я надеюсь это сделано??
echo 1 >/proc/sys/net/ipv4/ip_forward
_________________
In My Humble Opinion
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Dimasm



Зарегистрирован: 25.04.2005
Сообщения: 454

СообщениеДобавлено: Пт Апр 13 2007 08:03    Заголовок сообщения: Ответить с цитатой

Dragner писал(а):
Вопрос у меня такой, а вот это как
Код:
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.1.0     192.168.1.1     255.255.255.0   UG    0      0        0 eth1
почему в качестве шлюза стоит комп под виндой? Есил шлюз этот
Цитата:
Gate eth1:192.168.1.2 /255.255.255.0

это я собрал для настройки Gate. позже там будет ADSL роутер.
на gate-м я смогу доступ в инет контролировать

Dragner писал(а):
и как видно, что к винде пакеты проходят? если я не прав, то сильно по голове не бейте, *nix системы только начал изучать.

В винде запущена программа OupostFirewall. Чтобы она ничего не блокировала, я переключил её в режим бездействия.
Она отображает какие пакеты приходят и уходят из системы

Sol писал(а):
я надеюсь это сделано??
echo 1 >/proc/sys/net/ipv4/ip_forward

да, только вот так
echo 1 > /proc/sys/net/ipv4/conf/all/forwarding

сейчас глянул, /proc/sys/net/ipv4/ip_forward стоит единичка
_________________
С уважением Dimasm
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Sol



Зарегистрирован: 05.12.2003
Сообщения: 427
Откуда: Томск

СообщениеДобавлено: Пн Апр 16 2007 11:39    Заголовок сообщения: Ответить с цитатой

1.
Цитата:
пробую пинговать 192.168.1.2 -> 192.168.1.1 всё ОК
[root@localhost rc.d]# ping 192.168.1.2
PING 192.168.1.2 (192.168.1.2) 56(84) bytes of data.
64 bytes from 192.168.1.2: icmp_seq=0 ttl=64 time=0.207 ms


опечатка??? пингуете сами себя?

2.
Цитата:
причём 192.168.1.1 - это WinXP с OutPost (в выключеном режиме)
и на мониторе видно, что пакеты приходят с адреса 192.168.120.25


не понятно...
если Snat работает, то вы должны видеть , что пакеты идут с адреса 192.168.1.2

3. что стоит шлюзом у компа 192.168.1.1 ?
_________________
In My Humble Opinion
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Dimasm



Зарегистрирован: 25.04.2005
Сообщения: 454

СообщениеДобавлено: Пн Апр 16 2007 12:22    Заголовок сообщения: Ответить с цитатой

Sol писал(а):
1.
Цитата:
пробую пинговать 192.168.1.2 -> 192.168.1.1 всё ОК
[root@localhost rc.d]# ping 192.168.1.2
PING 192.168.1.2 (192.168.1.2) 56(84) bytes of data.
64 bytes from 192.168.1.2: icmp_seq=0 ttl=64 time=0.207 ms

опечатка??? пингуете сами себя?

192.168.1.2 - это линук шлюз
192.168.1.1 - это ПК под виндой, в будущем ADSL модем

Sol писал(а):
2.
Цитата:
причём 192.168.1.1 - это WinXP с OutPost (в выключеном режиме)
и на мониторе видно, что пакеты приходят с адреса 192.168.120.25


не понятно...
если Snat работает, то вы должны видеть , что пакеты идут с адреса 192.168.1.2

меня это тоже напрягает, должен подменяться адрес

Sol писал(а):
3. что стоит шлюзом у компа 192.168.1.1 ?

я пока ничего не ставил
кстати, если ставлю шлюзом 192.168.1.2 - то пинг 192.168.120.25->192.168.1.1 - проходит, но к сервисам(например NetBIOS) доступа получить не могу

Я совсем запутался Shocked
Какими теоретически должны быть маршруты в моём случае?
Уточню немного
сеть 192.168.120.0/255.255.255.224 - это внутрення сеть предприятия
для неё 192.168.120.30 - есть шлюз

сеть 192.168.14.0/24 - это общая сетка между предприятиями, там есть свой шлюз (я точно пока не знаю, но скорее всего 192.168.14.1)

сеть 192.168.1.2/255.255.255.0 - в ней только этот шлюз и ADSL модем (пока для настройки другой ПК) для раздачи интернет в сеть 192.168.120.0/255.255.255.224
_________________
С уважением Dimasm
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Dragner



Зарегистрирован: 27.07.2006
Сообщения: 760
Откуда: Владивосток

СообщениеДобавлено: Вт Апр 17 2007 05:38    Заголовок сообщения: Ответить с цитатой

По моему gateway всегла надо прописывать, иначе пакеты не будут знать куда идти. без них разумеется никакие пинги не пройдут. и я как то не понял, можешь разъяснить? тебе надо объединение сетей просто сделать или что?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Dimasm



Зарегистрирован: 25.04.2005
Сообщения: 454

СообщениеДобавлено: Вт Апр 17 2007 07:18    Заголовок сообщения: Ответить с цитатой

Dragner писал(а):
По моему gateway всегла надо прописывать, иначе пакеты не будут знать куда идти. без них разумеется никакие пинги не пройдут.

верно, но ведь у ADSL модема я никаких шлюзов не прописывал, только IP и маска
Dragner писал(а):
и я как то не понял, можешь разъяснить? тебе надо объединение сетей просто сделать или что?

Сеть 192.168.120.0/255.255.255.224 (внутренняя сеть eth0) - она не должна быть не откуда видна

Для некоторых ПК внутренней сети, (по IP&MAC) должен быть доступ в интернет (NAT) через сеть 192.168.1.2/24(ADSL модем) eth1

Также для 2..3 ПК внетренней сети, (по IP&MAC) должен быть доступ в сеть между предприятиями 192.168.14.0/24, внутренние адреса должны скрываться (NAT) eth2

NAT и контроль по MAC & IP - это будет средствами iptables, но ведь для начала настроить маршрутизацию
_________________
С уважением Dimasm
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Dragner



Зарегистрирован: 27.07.2006
Сообщения: 760
Откуда: Владивосток

СообщениеДобавлено: Вт Апр 17 2007 07:30    Заголовок сообщения: Ответить с цитатой

Делал под FreeBSD5.4 Release шлюз и проксю, натсроил все IPFW, обошелся без NAT, потому как с натом были некоторые проблемы, не смог настроить авторизацию на проксе, нат просто ее игнорировал и пускал всех с разрешенной сети в и-нет.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Показать сообщения:   
Этот форум закрыт, вы не можете писать новые сообщения и редактировать старые.   Эта тема закрыта, вы не можете писать ответы и редактировать сообщения.    Список форумов Архив форумов ЦИТФорума -> Unix Часовой пояс: GMT + 3
Страница 1 из 1

 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах


Powered by phpBB © 2001, 2002 phpBB Group
Русская поддержка phpBB

 

IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

Информация для рекламодателей PR-акции, размещение рекламы — adv@citforum.ru,
тел. +7 495 6608306, ICQ 232284597
Пресс-релизы — pr@citforum.ru
Послать комментарий
Информация для авторов
This Web server launched on February 24, 1997
Copyright © 1997-2000 CIT, © 2001-2006 CIT Forum
Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...