Перейти до

Iptables

datagroup

Від datagroup
в Софт

 Share

Рекомендованные сообщения

datagroup Пролетал Мимо

datagroup

Опубликовано:
Опубликовано:

Уважаемые форумчане, подскажите плиз, как вы бы решали подобную задачу:

В офис компании приходит два интернет-канала, один ADSL, другой местный провайдер (далее ISP).

VIP пользователи организации хотят иметь низкий пинг на некоторые ресурсы интернета, поэтому и заключили договор с ISP. Задача такого плана:

обеспечить vip компьютерам доступ к интернету через ISP, остальным через ADSL. Обеспечить доступ с подсети 172.х.х.х на порт 7777 ip-адреса 192.168.10.3 ...

 

еth1 смотрит в модем, eth0 в офисную сеть, eth2 в сторону ISP.

 

Компьютер 192.168.10.3 должен ходить через eth0, потом eth2, а потом уже городской провайдер ... Как это организовать в плане iptables? Создание table provider? Как правильно прописать?

 

1. Возможно ли еще организовать хождение vip-ов через ADSL в случае падения ISP?

2. Что по вашему нужно прописать в настройках iptables + dnat (port 7777) на DEBIAN 5?

post-15295-0-71022300-1297106574_thumb.jpg

Foster Дракон

Foster

Опубліковано:
Опубліковано:

не засоряйте ж так открыто уже (почистил)

 

по теме в кратце:

первым делом сорс роутинг, чтобы сетевые за себя отвечали, потом

 

echo "210 vip" >> /etc/iproute2/rt_tables

echo "211 kolhoz" >> /etc/iproute2/rt_tables

 

iptables prerouting from VIP -j MARK --set-mark 0x10

iptables prerouting from KOLHOZ -j MARK --set-mark 0x11

 

ip rule add fwmark 0x10 table vip

ip rule add fwmark 0x11 table kolhoz

 

В Lartc все описано с примерами. И гугл с этим отлично справляется.

datagroup Пролетал Мимо

datagroup

Опубліковано:
  • Автор
Опубліковано:

так как я остался без сисадмина в офисе, то прошу помочь с прописыванием настроек проброса портов по схеме выше(dnat или как там правильно?) чтобы заходя на порт 7777 ip-адреса 172.5.9.200 сервера с подсети 172.х.х.х, заходило на порт 7777 внутреннего ip 192.168.10.3 :)

DarkSpider Вампиреныш

DarkSpider

Опубліковано:
Опубліковано:

А правило создается на машине 172.5.9.200 ?

Или на роутере раньше ?

Если на роутере раньше - как ходит 192.168.10.3 через этот роутер ? (и ходит ли вообще).

В общем Вы спросили как сделать - я предложил вариант - дайте больше информации.

Кстати поиск тоже рулит - на форуме тема не раз поднималась.

aike Точу Зубы

aike

Опубліковано:
Опубліковано:

А так ?

iptables -t nat -A PREROUTING -p tcp -d 172.5.9.200 --dport 7777 -j DNAT --to-destination 192.168.10.3:7777

iptables -A FORWARD -i eth2 -d 172.5.9.200 -p tcp --dport 7777 -j ACCEPT

aike Точу Зубы

aike

Опубліковано:
Опубліковано:

Например так ?

iptables -t nat -A PREROUTING -d 172.5.9.200 -p tcp -m tcp --dport 777 -j DNAT --to 192.168.10.3:777

у него 7777, скорее всего скопировал и вставил ваше правило для 777, а подключается на 7777 )))

datagroup Пролетал Мимо

datagroup

Опубліковано:
  • Автор
Опубліковано:

у него 7777, скорее всего скопировал и вставил ваше правило для 777, а подключается на 7777 )))

Нет, для 7777 я прописал, я видел что без одной семерки. Все-таки хоть и не сисадмин, но менеджер, цифры узнаю :(

Второй вариант попробую завтра на работе. Правило прописываю на машине, где сама OS Debian и 2 аплинка, третий в локальную сеть.

А кто в курсе, как все правила iptables посмотреть? Чувствую прийдет админ и получу я по шапке, что там и куда маршрутизируется, по типу коллизий :)

Там поидее какое-то общее должно быть правило для eth2, чтобы все соединения на этот порт не зависели от ip-адреса, который заходит на него ...

aike Точу Зубы

aike

Опубліковано:
Опубліковано:

у него 7777, скорее всего скопировал и вставил ваше правило для 777, а подключается на 7777 )))

Нет, для 7777 я прописал, я видел что без одной семерки. Все-таки хоть и не сисадмин, но менеджер, цифры узнаю :(

Второй вариант попробую завтра на работе. Правило прописываю на машине, где сама OS Debian и 2 аплинка, третий в локальную сеть.

А кто в курсе, как все правила iptables посмотреть? Чувствую прийдет админ и получу я по шапке, что там и куда маршрутизируется, по типу коллизий :)

Там поидее какое-то общее должно быть правило для eth2, чтобы все соединения на этот порт не зависели от ip-адреса, который заходит на него ...

+1 )))

это правило все подключения на 172.5.9.200:7777 переадресовует на 192.168.10.3:7777

Проброс порта внутрь сети через NAT в Linux (nat iptables linux)

просмотр правил:

iptables -nvL

iptables-save

datagroup Пролетал Мимо

datagroup

Опубліковано:
  • Автор
Опубліковано:

А так ?

спасибо всем, заработало так

 

iptables -t nat -A PREROUTING -p tcp -d 172.5.9.200 --dport 7777 -j DNAT --to-destination 192.168.10.3:7777

iptables -A FORWARD -i eth2 -p tcp --dport 7777 -j ACCEPT

  • 2 weeks later...
datagroup Пролетал Мимо

datagroup

Опубліковано:
  • Автор
Опубліковано:

еще одна проблемка, пока народ есть в этой теме ...

есть таблица, через нее прописано ходить в локалку

ip ro ls table megabit

192.168.0.0/16 dev eth0 scope link

172.5.0.0/16 dev eth2 scope link

127.0.0.0/8 dev lo scope link

default via 172.5.0.1 dev eth2

почему сервер пингует 172.5.0.1, а с компа когда я пускаю

ip rule add from 192.168.10.10 table megabit

не пингует 172.5.0.1, что еще закрыто или что прописать надо?

Через таблицу main есть выход в интернет, через megabit нету ...

ip route flush cache
в данной ситуации не помогает
iptables -I FORWARD -s и -d
для данного айпи открыто, в чем еще косяк?

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
 Share
Перейти до переліку тем

  • Зараз на сторінці   0 користувачів

    • Немає користувачів, що переглядають цю сторінку.
×
×
  • Створити нове...