datagroup Posted February 7, 2011 Posted February 7, 2011 Уважаемые форумчане, подскажите плиз, как вы бы решали подобную задачу: В офис компании приходит два интернет-канала, один ADSL, другой местный провайдер (далее ISP). VIP пользователи организации хотят иметь низкий пинг на некоторые ресурсы интернета, поэтому и заключили договор с ISP. Задача такого плана: обеспечить vip компьютерам доступ к интернету через ISP, остальным через ADSL. Обеспечить доступ с подсети 172.х.х.х на порт 7777 ip-адреса 192.168.10.3 ... еth1 смотрит в модем, eth0 в офисную сеть, eth2 в сторону ISP. Компьютер 192.168.10.3 должен ходить через eth0, потом eth2, а потом уже городской провайдер ... Как это организовать в плане iptables? Создание table provider? Как правильно прописать? 1. Возможно ли еще организовать хождение vip-ов через ADSL в случае падения ISP? 2. Что по вашему нужно прописать в настройках iptables + dnat (port 7777) на DEBIAN 5?
elsacor Posted February 7, 2011 Posted February 7, 2011 http://www.opennet.ru/tips/info/1179.shtml http://habrahabr.ru/blogs/linux/55132/
Danil Posted February 7, 2011 Posted February 7, 2011 команда MARK решит многое) Промаркируйте пакеты и укажите куда им ходить! Более подробно поищите в гугле)
Foster Posted February 7, 2011 Posted February 7, 2011 не засоряйте ж так открыто уже (почистил) по теме в кратце: первым делом сорс роутинг, чтобы сетевые за себя отвечали, потом echo "210 vip" >> /etc/iproute2/rt_tables echo "211 kolhoz" >> /etc/iproute2/rt_tables iptables prerouting from VIP -j MARK --set-mark 0x10 iptables prerouting from KOLHOZ -j MARK --set-mark 0x11 ip rule add fwmark 0x10 table vip ip rule add fwmark 0x11 table kolhoz В Lartc все описано с примерами. И гугл с этим отлично справляется.
datagroup Posted February 8, 2011 Author Posted February 8, 2011 спасибо за информацию, но хотелось бы услышать как это делается без mark?
Foster Posted February 8, 2011 Posted February 8, 2011 без маркировки разве что в таблицы добавлять маршруты, что-то вроде: ip r a 172.16.22.11 dev ppp13 table kolhoz
datagroup Posted February 9, 2011 Author Posted February 9, 2011 так как я остался без сисадмина в офисе, то прошу помочь с прописыванием настроек проброса портов по схеме выше(dnat или как там правильно?) чтобы заходя на порт 7777 ip-адреса 172.5.9.200 сервера с подсети 172.х.х.х, заходило на порт 7777 внутреннего ip 192.168.10.3
DarkSpider Posted February 9, 2011 Posted February 9, 2011 Например так ? iptables -t nat -A PREROUTING -d 172.5.9.200 -p tcp -m tcp --dport 777 -j DNAT --to 192.168.10.3:777
datagroup Posted February 9, 2011 Author Posted February 9, 2011 правило становится без ошибок, но на этот порт нельзя зайти
DarkSpider Posted February 9, 2011 Posted February 9, 2011 А правило создается на машине 172.5.9.200 ? Или на роутере раньше ? Если на роутере раньше - как ходит 192.168.10.3 через этот роутер ? (и ходит ли вообще). В общем Вы спросили как сделать - я предложил вариант - дайте больше информации. Кстати поиск тоже рулит - на форуме тема не раз поднималась.
aike Posted February 9, 2011 Posted February 9, 2011 А так ? iptables -t nat -A PREROUTING -p tcp -d 172.5.9.200 --dport 7777 -j DNAT --to-destination 192.168.10.3:7777 iptables -A FORWARD -i eth2 -d 172.5.9.200 -p tcp --dport 7777 -j ACCEPT
aike Posted February 9, 2011 Posted February 9, 2011 Например так ? iptables -t nat -A PREROUTING -d 172.5.9.200 -p tcp -m tcp --dport 777 -j DNAT --to 192.168.10.3:777 у него 7777, скорее всего скопировал и вставил ваше правило для 777, а подключается на 7777 )))
datagroup Posted February 9, 2011 Author Posted February 9, 2011 у него 7777, скорее всего скопировал и вставил ваше правило для 777, а подключается на 7777 ))) Нет, для 7777 я прописал, я видел что без одной семерки. Все-таки хоть и не сисадмин, но менеджер, цифры узнаю Второй вариант попробую завтра на работе. Правило прописываю на машине, где сама OS Debian и 2 аплинка, третий в локальную сеть. А кто в курсе, как все правила iptables посмотреть? Чувствую прийдет админ и получу я по шапке, что там и куда маршрутизируется, по типу коллизий Там поидее какое-то общее должно быть правило для eth2, чтобы все соединения на этот порт не зависели от ip-адреса, который заходит на него ...
aike Posted February 9, 2011 Posted February 9, 2011 у него 7777, скорее всего скопировал и вставил ваше правило для 777, а подключается на 7777 ))) Нет, для 7777 я прописал, я видел что без одной семерки. Все-таки хоть и не сисадмин, но менеджер, цифры узнаю Второй вариант попробую завтра на работе. Правило прописываю на машине, где сама OS Debian и 2 аплинка, третий в локальную сеть. А кто в курсе, как все правила iptables посмотреть? Чувствую прийдет админ и получу я по шапке, что там и куда маршрутизируется, по типу коллизий Там поидее какое-то общее должно быть правило для eth2, чтобы все соединения на этот порт не зависели от ip-адреса, который заходит на него ... +1 ))) это правило все подключения на 172.5.9.200:7777 переадресовует на 192.168.10.3:7777 Проброс порта внутрь сети через NAT в Linux (nat iptables linux) просмотр правил: iptables -nvL iptables-save
datagroup Posted February 10, 2011 Author Posted February 10, 2011 А так ? спасибо всем, заработало так iptables -t nat -A PREROUTING -p tcp -d 172.5.9.200 --dport 7777 -j DNAT --to-destination 192.168.10.3:7777 iptables -A FORWARD -i eth2 -p tcp --dport 7777 -j ACCEPT
антоха Posted February 21, 2011 Posted February 21, 2011 кстати, а есть пример полного отключения iptables?
datagroup Posted February 21, 2011 Author Posted February 21, 2011 еще одна проблемка, пока народ есть в этой теме ... есть таблица, через нее прописано ходить в локалку ip ro ls table megabit 192.168.0.0/16 dev eth0 scope link 172.5.0.0/16 dev eth2 scope link 127.0.0.0/8 dev lo scope link default via 172.5.0.1 dev eth2 почему сервер пингует 172.5.0.1, а с компа когда я пускаю ip rule add from 192.168.10.10 table megabit не пингует 172.5.0.1, что еще закрыто или что прописать надо? Через таблицу main есть выход в интернет, через megabit нету ... ip route flush cache в данной ситуации не помогаетiptables -I FORWARD -s и -d для данного айпи открыто, в чем еще косяк?
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now