Перейти до

Iptables

datagroup

Автор: datagroup,
в Софт

 Share Подписчики 0

Рекомендованные сообщения

datagroup

datagroup 1

Опубликовано:
Опубликовано:

Уважаемые форумчане, подскажите плиз, как вы бы решали подобную задачу:

В офис компании приходит два интернет-канала, один ADSL, другой местный провайдер (далее ISP).

VIP пользователи организации хотят иметь низкий пинг на некоторые ресурсы интернета, поэтому и заключили договор с ISP. Задача такого плана:

обеспечить vip компьютерам доступ к интернету через ISP, остальным через ADSL. Обеспечить доступ с подсети 172.х.х.х на порт 7777 ip-адреса 192.168.10.3 ...

 

еth1 смотрит в модем, eth0 в офисную сеть, eth2 в сторону ISP.

 

Компьютер 192.168.10.3 должен ходить через eth0, потом eth2, а потом уже городской провайдер ... Как это организовать в плане iptables? Создание table provider? Как правильно прописать?

 

1. Возможно ли еще организовать хождение vip-ов через ADSL в случае падения ISP?

2. Что по вашему нужно прописать в настройках iptables + dnat (port 7777) на DEBIAN 5?

post-15295-0-71022300-1297106574_thumb.jpg

Ссылка на сообщение
Поделиться на других сайтах
Foster

Foster 0

Опубліковано:
Опубліковано:

не засоряйте ж так открыто уже (почистил)

 

по теме в кратце:

первым делом сорс роутинг, чтобы сетевые за себя отвечали, потом

 

echo "210 vip" >> /etc/iproute2/rt_tables

echo "211 kolhoz" >> /etc/iproute2/rt_tables

 

iptables prerouting from VIP -j MARK --set-mark 0x10

iptables prerouting from KOLHOZ -j MARK --set-mark 0x11

 

ip rule add fwmark 0x10 table vip

ip rule add fwmark 0x11 table kolhoz

 

В Lartc все описано с примерами. И гугл с этим отлично справляется.

Ссылка на сообщение
Поделиться на других сайтах
datagroup

datagroup 1

Опубліковано:
  • Автор
Опубліковано:

так как я остался без сисадмина в офисе, то прошу помочь с прописыванием настроек проброса портов по схеме выше(dnat или как там правильно?) чтобы заходя на порт 7777 ip-адреса 172.5.9.200 сервера с подсети 172.х.х.х, заходило на порт 7777 внутреннего ip 192.168.10.3 :)

Ссылка на сообщение
Поделиться на других сайтах
DarkSpider

DarkSpider 36

Опубліковано:
Опубліковано:

А правило создается на машине 172.5.9.200 ?

Или на роутере раньше ?

Если на роутере раньше - как ходит 192.168.10.3 через этот роутер ? (и ходит ли вообще).

В общем Вы спросили как сделать - я предложил вариант - дайте больше информации.

Кстати поиск тоже рулит - на форуме тема не раз поднималась.

Ссылка на сообщение
Поделиться на других сайтах
aike

aike 60

Опубліковано:
Опубліковано:

Например так ?

iptables -t nat -A PREROUTING -d 172.5.9.200 -p tcp -m tcp --dport 777 -j DNAT --to 192.168.10.3:777

у него 7777, скорее всего скопировал и вставил ваше правило для 777, а подключается на 7777 )))

Ссылка на сообщение
Поделиться на других сайтах
datagroup

datagroup 1

Опубліковано:
  • Автор
Опубліковано:

у него 7777, скорее всего скопировал и вставил ваше правило для 777, а подключается на 7777 )))

Нет, для 7777 я прописал, я видел что без одной семерки. Все-таки хоть и не сисадмин, но менеджер, цифры узнаю :(

Второй вариант попробую завтра на работе. Правило прописываю на машине, где сама OS Debian и 2 аплинка, третий в локальную сеть.

А кто в курсе, как все правила iptables посмотреть? Чувствую прийдет админ и получу я по шапке, что там и куда маршрутизируется, по типу коллизий :)

Там поидее какое-то общее должно быть правило для eth2, чтобы все соединения на этот порт не зависели от ip-адреса, который заходит на него ...

Ссылка на сообщение
Поделиться на других сайтах
aike

aike 60

Опубліковано:
Опубліковано:

у него 7777, скорее всего скопировал и вставил ваше правило для 777, а подключается на 7777 )))

Нет, для 7777 я прописал, я видел что без одной семерки. Все-таки хоть и не сисадмин, но менеджер, цифры узнаю :(

Второй вариант попробую завтра на работе. Правило прописываю на машине, где сама OS Debian и 2 аплинка, третий в локальную сеть.

А кто в курсе, как все правила iptables посмотреть? Чувствую прийдет админ и получу я по шапке, что там и куда маршрутизируется, по типу коллизий :)

Там поидее какое-то общее должно быть правило для eth2, чтобы все соединения на этот порт не зависели от ip-адреса, который заходит на него ...

+1 )))

это правило все подключения на 172.5.9.200:7777 переадресовует на 192.168.10.3:7777

Проброс порта внутрь сети через NAT в Linux (nat iptables linux)

просмотр правил:

iptables -nvL

iptables-save

Ссылка на сообщение
Поделиться на других сайтах
datagroup

datagroup 1

Опубліковано:
  • Автор
Опубліковано:

А так ?

спасибо всем, заработало так

 

iptables -t nat -A PREROUTING -p tcp -d 172.5.9.200 --dport 7777 -j DNAT --to-destination 192.168.10.3:7777

iptables -A FORWARD -i eth2 -p tcp --dport 7777 -j ACCEPT

Ссылка на сообщение
Поделиться на других сайтах
  • 2 weeks later...
datagroup

datagroup 1

Опубліковано:
  • Автор
Опубліковано:

еще одна проблемка, пока народ есть в этой теме ...

есть таблица, через нее прописано ходить в локалку

ip ro ls table megabit

192.168.0.0/16 dev eth0 scope link

172.5.0.0/16 dev eth2 scope link

127.0.0.0/8 dev lo scope link

default via 172.5.0.1 dev eth2

почему сервер пингует 172.5.0.1, а с компа когда я пускаю

ip rule add from 192.168.10.10 table megabit

не пингует 172.5.0.1, что еще закрыто или что прописать надо?

Через таблицу main есть выход в интернет, через megabit нету ...

ip route flush cache
в данной ситуации не помогает
iptables -I FORWARD -s и -d
для данного айпи открыто, в чем еще косяк?
Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
 Share
Подписчики 0
Перейти до переліку тем

  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...