datagroup 1 Posted 2011-02-07 19:22:57 Share Posted 2011-02-07 19:22:57 Уважаемые форумчане, подскажите плиз, как вы бы решали подобную задачу: В офис компании приходит два интернет-канала, один ADSL, другой местный провайдер (далее ISP). VIP пользователи организации хотят иметь низкий пинг на некоторые ресурсы интернета, поэтому и заключили договор с ISP. Задача такого плана: обеспечить vip компьютерам доступ к интернету через ISP, остальным через ADSL. Обеспечить доступ с подсети 172.х.х.х на порт 7777 ip-адреса 192.168.10.3 ... еth1 смотрит в модем, eth0 в офисную сеть, eth2 в сторону ISP. Компьютер 192.168.10.3 должен ходить через eth0, потом eth2, а потом уже городской провайдер ... Как это организовать в плане iptables? Создание table provider? Как правильно прописать? 1. Возможно ли еще организовать хождение vip-ов через ADSL в случае падения ISP? 2. Что по вашему нужно прописать в настройках iptables + dnat (port 7777) на DEBIAN 5? Link to post Share on other sites
elsacor 12 Posted 2011-02-07 19:50:55 Share Posted 2011-02-07 19:50:55 http://www.opennet.ru/tips/info/1179.shtml http://habrahabr.ru/blogs/linux/55132/ Link to post Share on other sites
Danil 1 Posted 2011-02-07 20:23:40 Share Posted 2011-02-07 20:23:40 команда MARK решит многое) Промаркируйте пакеты и укажите куда им ходить! Более подробно поищите в гугле) Link to post Share on other sites
Foster 0 Posted 2011-02-07 21:10:23 Share Posted 2011-02-07 21:10:23 не засоряйте ж так открыто уже (почистил) по теме в кратце: первым делом сорс роутинг, чтобы сетевые за себя отвечали, потом echo "210 vip" >> /etc/iproute2/rt_tables echo "211 kolhoz" >> /etc/iproute2/rt_tables iptables prerouting from VIP -j MARK --set-mark 0x10 iptables prerouting from KOLHOZ -j MARK --set-mark 0x11 ip rule add fwmark 0x10 table vip ip rule add fwmark 0x11 table kolhoz В Lartc все описано с примерами. И гугл с этим отлично справляется. Link to post Share on other sites
datagroup 1 Posted 2011-02-08 18:08:54 Author Share Posted 2011-02-08 18:08:54 спасибо за информацию, но хотелось бы услышать как это делается без mark? Link to post Share on other sites
Foster 0 Posted 2011-02-08 19:06:24 Share Posted 2011-02-08 19:06:24 без маркировки разве что в таблицы добавлять маршруты, что-то вроде: ip r a 172.16.22.11 dev ppp13 table kolhoz Link to post Share on other sites
datagroup 1 Posted 2011-02-09 08:12:18 Author Share Posted 2011-02-09 08:12:18 так как я остался без сисадмина в офисе, то прошу помочь с прописыванием настроек проброса портов по схеме выше(dnat или как там правильно?) чтобы заходя на порт 7777 ip-адреса 172.5.9.200 сервера с подсети 172.х.х.х, заходило на порт 7777 внутреннего ip 192.168.10.3 Link to post Share on other sites
DarkSpider 36 Posted 2011-02-09 08:55:38 Share Posted 2011-02-09 08:55:38 Например так ? iptables -t nat -A PREROUTING -d 172.5.9.200 -p tcp -m tcp --dport 777 -j DNAT --to 192.168.10.3:777 Link to post Share on other sites
datagroup 1 Posted 2011-02-09 13:02:13 Author Share Posted 2011-02-09 13:02:13 правило становится без ошибок, но на этот порт нельзя зайти Link to post Share on other sites
DarkSpider 36 Posted 2011-02-09 13:25:09 Share Posted 2011-02-09 13:25:09 А правило создается на машине 172.5.9.200 ? Или на роутере раньше ? Если на роутере раньше - как ходит 192.168.10.3 через этот роутер ? (и ходит ли вообще). В общем Вы спросили как сделать - я предложил вариант - дайте больше информации. Кстати поиск тоже рулит - на форуме тема не раз поднималась. Link to post Share on other sites
aike 60 Posted 2011-02-09 15:44:14 Share Posted 2011-02-09 15:44:14 А так ? iptables -t nat -A PREROUTING -p tcp -d 172.5.9.200 --dport 7777 -j DNAT --to-destination 192.168.10.3:7777 iptables -A FORWARD -i eth2 -d 172.5.9.200 -p tcp --dport 7777 -j ACCEPT Link to post Share on other sites
aike 60 Posted 2011-02-09 15:49:20 Share Posted 2011-02-09 15:49:20 Например так ? iptables -t nat -A PREROUTING -d 172.5.9.200 -p tcp -m tcp --dport 777 -j DNAT --to 192.168.10.3:777 у него 7777, скорее всего скопировал и вставил ваше правило для 777, а подключается на 7777 ))) Link to post Share on other sites
datagroup 1 Posted 2011-02-09 16:18:44 Author Share Posted 2011-02-09 16:18:44 у него 7777, скорее всего скопировал и вставил ваше правило для 777, а подключается на 7777 ))) Нет, для 7777 я прописал, я видел что без одной семерки. Все-таки хоть и не сисадмин, но менеджер, цифры узнаю Второй вариант попробую завтра на работе. Правило прописываю на машине, где сама OS Debian и 2 аплинка, третий в локальную сеть. А кто в курсе, как все правила iptables посмотреть? Чувствую прийдет админ и получу я по шапке, что там и куда маршрутизируется, по типу коллизий Там поидее какое-то общее должно быть правило для eth2, чтобы все соединения на этот порт не зависели от ip-адреса, который заходит на него ... Link to post Share on other sites
aike 60 Posted 2011-02-09 16:34:23 Share Posted 2011-02-09 16:34:23 у него 7777, скорее всего скопировал и вставил ваше правило для 777, а подключается на 7777 ))) Нет, для 7777 я прописал, я видел что без одной семерки. Все-таки хоть и не сисадмин, но менеджер, цифры узнаю Второй вариант попробую завтра на работе. Правило прописываю на машине, где сама OS Debian и 2 аплинка, третий в локальную сеть. А кто в курсе, как все правила iptables посмотреть? Чувствую прийдет админ и получу я по шапке, что там и куда маршрутизируется, по типу коллизий Там поидее какое-то общее должно быть правило для eth2, чтобы все соединения на этот порт не зависели от ip-адреса, который заходит на него ... +1 ))) это правило все подключения на 172.5.9.200:7777 переадресовует на 192.168.10.3:7777 Проброс порта внутрь сети через NAT в Linux (nat iptables linux) просмотр правил: iptables -nvL iptables-save Link to post Share on other sites
datagroup 1 Posted 2011-02-10 09:33:44 Author Share Posted 2011-02-10 09:33:44 А так ? спасибо всем, заработало так iptables -t nat -A PREROUTING -p tcp -d 172.5.9.200 --dport 7777 -j DNAT --to-destination 192.168.10.3:7777 iptables -A FORWARD -i eth2 -p tcp --dport 7777 -j ACCEPT Link to post Share on other sites
антоха 55 Posted 2011-02-21 12:13:49 Share Posted 2011-02-21 12:13:49 кстати, а есть пример полного отключения iptables? Link to post Share on other sites
datagroup 1 Posted 2011-02-21 13:12:54 Author Share Posted 2011-02-21 13:12:54 еще одна проблемка, пока народ есть в этой теме ... есть таблица, через нее прописано ходить в локалку ip ro ls table megabit 192.168.0.0/16 dev eth0 scope link 172.5.0.0/16 dev eth2 scope link 127.0.0.0/8 dev lo scope link default via 172.5.0.1 dev eth2 почему сервер пингует 172.5.0.1, а с компа когда я пускаю ip rule add from 192.168.10.10 table megabit не пингует 172.5.0.1, что еще закрыто или что прописать надо? Через таблицу main есть выход в интернет, через megabit нету ... ip route flush cache в данной ситуации не помогаетiptables -I FORWARD -s и -d для данного айпи открыто, в чем еще косяк? Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now