Маршрутизация в Linux

[homaua 0]

Топология сети :

 

ПРОВАЙДЕРСКИЙ ШЛЮЗ х.х.х.245---------------eth0([х.х.х.246/30)LINUX_ROUTER ---- 2 IP на выходе:

 

eth1 192.168.10.1 - через него идет NAT, и работает все нормально

 

eth1:0 х.х.х.201/29 - задача для него - повесить сюда пользователей с реальными IP адресами х.х.х.(202,203,204,205,206)

 

 

сеть x.x.x.200/29. Направлена статиком на существующий интерфейс eth0 (x.x.x.246/30)

 

 

На даный момент что получается:

Машина внутри сети с х.х.х.202/29 со шлюзом х.х.х.201/29 в инет ходит, но снаружи она не пингуется и порты недоступны, такое чувство что сижу под NAT.

 

Подскажите пожалуйста в чем может быть проблема, и пути решения.

ЗЫ: в ip route и вообще настройке маршрутизации не силен, возможно нужно правильно прописать маршруты. По возможности ответ с конкретными командами объяснением для хорошего понимания. Спасибо.

[Pretender 5]

Топология сети :

Подскажите пожалуйста в чем может быть проблема, и пути решения.

ЗЫ: в ip route и вообще настройке маршрутизации не силен, возможно нужно правильно прописать маршруты. По возможности ответ с конкретными командами объяснением для хорошего понимания. Спасибо.

route -n

iptables -nL выложите и потом будем дальше смотреть.

[homaua 0]

route -n

iptables -nL выложите и потом будем дальше смотреть.

 

Вот результаты:

 

[root@gw ~]# route -n

Kernel IP routing table

Destination Gateway Genmask Flags Metric Ref Use Iface

x.x.x.244 0.0.0.0 255.255.255.252 U 0 0 0 eth0

x.x.x.200 0.0.0.0 255.255.255.248 U 0 0 0 eth1

169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth1

192.168.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth1

0.0.0.0 x.x.x.245 0.0.0.0 UG 0 0 0 eth0

 

 

 

[root@gw ~]# iptables -nL

Chain INPUT (policy ACCEPT)

target prot opt source destination

DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:465

DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:111

DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:587

DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:25

 

Chain FORWARD (policy ACCEPT)

target prot opt source destination

ACCEPT tcp -- 0.0.0.0/0 x.x.x.200/29 tcp dpts:10:5000

 

Chain OUTPUT (policy ACCEPT)

target prot opt source destination

[zulu_gluk 23]

и еще iptables -L -t nat

[homaua 0]

и еще iptables -L -t nat

 

[root@gw ~]# iptables -L -t nat

Chain PREROUTING (policy ACCEPT)

target prot opt source destination

DNAT tcp -- anywhere borshagovka.terabit.com.ua tcp dpt:http to:192.168.10.2

DNAT tcp -- 192.168.11.37 anywhere tcp dpt:http to:192.168.10.1

-----------------------------------------------------------------------------------------{то же просто для других адресов}

DNAT tcp -- 192.168.27.11 anywhere tcp dpt:http to:192.168.10.1

DNAT tcp -- anywhere anywhere tcp dpt:dec-notes to:192.168.10.33

DNAT tcp -- anywhere anywhere tcp dpt:cbt to:192.168.100.220

DNAT tcp -- anywhere anywhere tcp dpt:slinkysearch to:192.168.12.25

DNAT tcp -- anywhere anywhere tcp dpt:krb524 to:192.168.24.1

DNAT tcp -- anywhere anywhere tcp dpt:gbjd816 to:192.168.11.26

DNAT tcp -- anywhere borshagovka.terabit.com.ua tcp dpt:http to:192.168.10.2

DNAT tcp -- anywhere borshagovka.terabit.com.ua tcp dpt:ftp to:192.168.10.2

DNAT tcp -- anywhere borshagovka.terabit.com.ua tcp dpt:ftp-data to:192.168.10.2

 

Chain POSTROUTING (policy ACCEPT)

target prot opt source destination

 

SNAT all -- 192.168.50.103 anywhere to:х.х.х.246

-----------------------------------------------------------------------------------------{то же просто для других адресов}

SNAT all -- 192.168.60.100 anywhere to:х.х.х.246

SNAT udp -- anywhere anywhere udp dpt:domain to:х.х.х.246

SNAT tcp -- anywhere anywhere tcp dpt:domain to:х.х.х.246

SNAT tcp -- anywhere web.prolan.com.ua tcp dpt:http to:192.168.10.1

SNAT tcp -- anywhere web.prolan.com.ua tcp dpt:ftp to:192.168.10.1

SNAT tcp -- anywhere web.prolan.com.ua tcp dpt:ftp-data to:192.168.10.1

 

Chain OUTPUT (policy ACCEPT)

target prot opt source destination

[zulu_gluk 23]

если не до конца понимаешь смысл этих правил - советую очистить их, добавить простой НАТ куда нужно и добавлять новые правила по мере необходимости:

 

iptables -F

iptables -X

iptables -t nat -F

iptables -t nat -X

iptables -A POSTROUTING -t nat -s 192.168.0.0/255.255.255.0 -o eth1 -j SNAT --to-source xx.xx.xx.xx

 

где 192.168.0.0/255.255.255.0 - сеть клиентов с серыми ип; eth1 - интерфейс включенный в провайдера; xx.xx.xx.xx ип интерфейса eth1

[homaua 0]

если не до конца понимаешь смысл этих правил - советую очистить их, добавить простой НАТ куда нужно и добавлять новые правила по мере необходимости:

 

iptables -F

iptables -X

iptables -t nat -F

iptables -t nat -X

iptables -A POSTROUTING -t nat -s 192.168.0.0/255.255.255.0 -o eth1 -j SNAT --to-source xx.xx.xx.xx

 

где 192.168.0.0/255.255.255.0 - сеть клиентов с серыми ип; eth1 - интерфейс включенный в провайдера; xx.xx.xx.xx ип интерфейса eth1

 

 

Как раз с НАТ все понятно, очистка правил в скрипте есть ... НАТ работает отлично. По НАТу и СНАТу настроены веб, фтп и прочее для внешнего мира.

Суть в том что хочу внутрь сети для парочки машин пустить имеющиеся в наличии белые адреса.

[zulu_gluk 23]

сбрось правила и послушай tcpdump входящий и исходящий интерфейсы, запустив пинг на внутреннюю машину откуда то извне

[homaua 0]

сбрось правила и послушай tcpdump входящий и исходящий интерфейсы, запустив пинг на внутреннюю машину откуда то извне

 

смогу сделать только ночью))) а то народ не поймет.

А пока - может есть какие либо идеи насчет маршрутов - может не так прописаны, или с icmp как мне уже кто-то говорил, просто сам к сожалению пока не придумаю даже с чего начать.