homaua 0 Posted 2008-09-04 07:11:27 Share Posted 2008-09-04 07:11:27 такая штука: есть линукс шлюз eth0 x.x.x.250/255.255.255.252 default gw x.x.x.249 - реальные айпи eth1 192.168.10.1/255.255.255.0 eth1:1 x.x.x.252/255.255.255.0 echo 123 rIP >> /etc/iproute2/rt_tables ip rule add from x.x.x.254 table rIP ip route add default via x.x.x.249 dev eth0 table rIP ip rule flush cache на 192.168. .... работает НАТ на WIN машине ставлю х.х.х.254 шлюз по умолчани. х.х.х.252 маска 255,255,255,0 с нее пингуется х.х.х.252 , х.х.х.250 а х.х.х.249 не проходит.., в чем ошибка ? хочу в сеть пробросить белый адрес., но вот пока не получилось Посоветуйте что сделать, укажите ошибку, помогите разобраться. Возможно другим способом.., но суть - часть машин на нате а часть на белых айпи ЗЫ на хаб.ру никто не ответил Link to post Share on other sites
Pretender 5 Posted 2008-09-04 07:37:04 Share Posted 2008-09-04 07:37:04 такая штука:есть линукс шлюз eth0 x.x.x.250/255.255.255.252 default gw x.x.x.249 - реальные айпи eth1 192.168.10.1/255.255.255.0 eth1:1 x.x.x.252/255.255.255.0 echo 123 rIP >> /etc/iproute2/rt_tables ip rule add from x.x.x.254 table rIP ip route add default via x.x.x.249 dev eth0 table rIP ip rule flush cache на 192.168. .... работает НАТ на WIN машине ставлю х.х.х.254 шлюз по умолчани. х.х.х.252 маска 255,255,255,0 с нее пингуется х.х.х.252 , х.х.х.250 а х.х.х.249 не проходит.., в чем ошибка ? хочу в сеть пробросить белый адрес., но вот пока не получилось Посоветуйте что сделать, укажите ошибку, помогите разобраться. Возможно другим способом.., но суть - часть машин на нате а часть на белых айпи ЗЫ на хаб.ру никто не ответил подобная ошибка с не хождением траффика была у меня при неправильно настроенном нате, смотри dmesg и копай в сторону ната Link to post Share on other sites
homaua 0 Posted 2008-09-04 07:47:25 Author Share Posted 2008-09-04 07:47:25 подобная ошибка с не хождением траффика была у меня при неправильно настроенном нате, смотри dmesg и копай в сторону ната нат работает отлично ... а вот именно пробросить реальный айпи в сеть не получается.., ... у меня все на правилах айпитейблс .., без каких то сторонних вещей - напрямую через правила, если можно - подробнее Link to post Share on other sites
mjk 1 Posted 2008-09-04 07:51:32 Share Posted 2008-09-04 07:51:32 такая штука:есть линукс шлюз eth0 x.x.x.250/255.255.255.252 --- влазит 4 айпи и все они вверх, соответственно 249 работать не будет. если ты имел эти айпи ввиду. Link to post Share on other sites
homaua 0 Posted 2008-09-04 07:58:08 Author Share Posted 2008-09-04 07:58:08 если ты имел эти айпи ввиду. ххх249 ххх250 ххх251 при маске 255.255.255.252 с ххх252 ххх253 ххх254 с такой же маской в разных сетях а через айпи роут как раз и пытаюсь настроить между ними маршрутизацию Link to post Share on other sites
S_ergey 21 Posted 2008-09-04 08:11:51 Share Posted 2008-09-04 08:11:51 To homaua Вы адреса купили или вам их вышестоящий провайдер дал ?? Link to post Share on other sites
mjk 1 Posted 2008-09-04 08:25:20 Share Posted 2008-09-04 08:25:20 ххх249 ххх250 ххх251 при маске 255.255.255.252 с ххх252 ххх253 ххх254 с такой же маской в разных сетях а через айпи роут как раз и пытаюсь настроить между ними маршрутизацию могу ошибаться, но их там надо как то правильно разбивать. поэтому в качестве варианта route x.x.x.249/32 (mask 255.255.255.255) to x.x.x.x route x.x.x.250/32 to x.x.x.x route x.x.x.251/32 to x.x.x.x route x.x.x.252/32 to y.y.y.y route x.x.x.253/32 to y.y.y.y route x.x.x.254/32 to y.y.y.y Link to post Share on other sites
homaua 0 Posted 2008-09-04 09:40:58 Author Share Posted 2008-09-04 09:40:58 To homaua Вы адреса купили или вам их вышестоящий провайдер дал ?? вышестоящий дал.. Link to post Share on other sites
S_ergey 21 Posted 2008-09-04 10:11:53 Share Posted 2008-09-04 10:11:53 вышестоящий дал.. тогда цепляй их все на eth0 и делай SNAT DNAT для тех кому нужен реальный ип. Link to post Share on other sites
homaua 0 Posted 2008-09-04 10:32:41 Author Share Posted 2008-09-04 10:32:41 тогда цепляй их все на eth0 и делай SNAT DNAT для тех кому нужен реальный ип. вобщем хитрое решение))) но хотелось бы чтобы юзверь на интерфейсе у себя мог поставить реальный айпи))) на вкус ее хочется маршрутизацию попробовать, если реально в этой ситуации.. вроде реально а делать снат днат на все порты для отдельный юзеров на разные айпи..... ИМХО не то но за идею спасибо, возможно пригодится Link to post Share on other sites
Pretender 5 Posted 2008-09-04 11:44:31 Share Posted 2008-09-04 11:44:31 вобщем хитрое решение))) но хотелось бы чтобы юзверь на интерфейсе у себя мог поставить реальный айпи)))на вкус ее хочется маршрутизацию попробовать, если реально в этой ситуации.. вроде реально а делать снат днат на все порты для отдельный юзеров на разные айпи..... ИМХО не то но за идею спасибо, возможно пригодится если впн, то можно по ppp отдать реальные ипы. Link to post Share on other sites
homaua 0 Posted 2008-09-04 23:26:18 Author Share Posted 2008-09-04 23:26:18 если впн, то можно по ppp отдать реальные ипы. [/quote без впн просто взять и настроить) Link to post Share on other sites
VIPrules 0 Posted 2008-09-05 04:29:03 Share Posted 2008-09-05 04:29:03 вобщем хитрое решение))) но хотелось бы чтобы юзверь на интерфейсе у себя мог поставить реальный айпи)))на вкус ее хочется маршрутизацию попробовать, если реально в этой ситуации.. вроде реально а делать снат днат на все порты для отдельный юзеров на разные айпи..... ИМХО не то но за идею спасибо, возможно пригодится Зачем на все порты? Просто СНАТ и ДНАТ помогут. Вот как у меня работает: вначале вешается на внешний интерфейс реальный айпи. Пусть это будет eth1:1 client="ip клиента внутри сети" inet_client="внешний ip клиента" ... iptables -t nat -A PREROUTING -p all -d $inet_client -j DNAT --to-destination $client ... iptables -A FORWARD -p all -d $client -j ACCEPT ... iptables -t nat -A POSTROUTING -p all -j SNAT --to-source $inet_client Остается только обеспечить доступ клиента в инет. В моем случае это делает стг. Если у тебя по-другому (скажем, анлим на клиента или ты для себя что-то хочешь сделать), то можно сделать что-то вроде этого: network = "сеть с маской" #по типу 192.168.0.0/24 client="ip клиента внутри сети" iptables -A FORWARD -s $client -d ! $network -j ACCEPT iptables -A FORWARD -d $client -m state --state ESTABLISHED,RELATED -j ACCEPT По такой схеме ВЕСЬ трафик перебрасывается на клиента. Тебе тогда только остается следить за правильными настройками клиентской машины и за полосой пропускания для клиента (чтобы весь канал не занял). У меня был прокол, когда я клиенту неправильно настроил, и его реальный ип попал в список публичных прокси. Хорошо, что полоса была ограничена. Но все равно он за сутки "наработал" больше 10ГБ. P.S. Изначально тоже пытался все решить маршрутизацией и тоже ничего не вышло. )) Link to post Share on other sites
S_ergey 21 Posted 2008-09-05 05:50:22 Share Posted 2008-09-05 05:50:22 вобщем хитрое решение))) но хотелось бы чтобы юзверь на интерфейсе у себя мог поставить реальный айпи)))на вкус ее хочется маршрутизацию попробовать, если реально в этой ситуации.. вроде реально а делать снат днат на все порты для отдельный юзеров на разные айпи..... ИМХО не то но за идею спасибо, возможно пригодится тогда говори со своим провом на счет маршрутизации так как адреса его и только он ими распоряжается. но толку мало будет я это проходил. Правильней всего купить адреса построить bgp и тогда сам будеш рулить адресами. Link to post Share on other sites
BABAY 2 Posted 2008-09-05 06:30:24 Share Posted 2008-09-05 06:30:24 Просто сделай: алиас eth1:1 x.x.x.252/255.255.255.0 при поднятии алиаса роут должен прописаться автоматом. Никаких шаманств с echo 123 rIP >> /etc/iproute2/rt_tables ip rule add from x.x.x.254 table rIP ip route add default via x.x.x.249 dev eth0 table rIP ip rule flush cache делать не нужно У клиентов в качесте gw должен быть x.x.x.252 Проверь правила ната, чтобы в нат не попдали клиенты с релаьными адресами. Так же твой провайдер должен завернуть сеть x.x.x.252/24 на IP x.x.x.250 Для проверки всей схемы со своей стороны пользуйся traceroute или mtr, с внешней стороны пользуйся Looking Glass-ами, например http://lg.telia.net/ Link to post Share on other sites
VIPrules 0 Posted 2008-09-05 06:30:30 Share Posted 2008-09-05 06:30:30 Скорее всего (99%), что у прова маршруты как раз прописаны. Во всяком случае, когда я покупал, тоже был маленький казус - их админ забыл маршрут добавить. И пока не добавил, адреса вообще были недоступны. Потом все заработало. Link to post Share on other sites
homaua 0 Posted 2008-09-09 08:46:37 Author Share Posted 2008-09-09 08:46:37 если впн, то можно по ppp отдать реальные ипы. Можно в подробностях, если есть готовый вариант)) .. впн на линуксе не поднимал.., и можно ли его подцепить к машине с 8-й федорой, цел1000 512 ОЗУ на котором уже 200 нат юзеров Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now