Внутренний сервер

[CronAcronis 0]

Вообщем по порядку:

 

Проблема в том, что пользователи с eth1(10.19.21.0/24), не имею доступа к видеосерверу 10.18.21.253. Не могу понять в чем проблема. Инет работает нормально, всё считается.

 

[root@Selena stargazer]# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:E0:4D:02:C8:36
         inet addr:10.18.21.252  Bcast:10.18.255.255  Mask:255.255.0.0

eth1      Link encap:Ethernet  HWaddr 00:50:FC:9B:9D:A3
         inet addr:10.19.21.1  Bcast:10.19.255.255  Mask:255.255.0.0

ppp0      Link encap:Point-to-Point Protocol
         inet addr:192.168.0.3  P-t-P:213.234.197.235  Mask:255.255.255.255

eth0 смотрит в сторону внешней локальной сети с основным роутером 10.18.21.254, с которым установлено соединение ppp0, и с видео сервером 10.18.21.253.

 

[root@Selena stargazer]# iptables -L
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     icmp --  anywhere             anywhere
ACCEPT     all  --  anywhere             Selena
ACCEPT     all  --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:domain
ACCEPT     udp  --  anywhere             anywhere            udp spt:domain
ACCEPT     tcp  --  10.18.20.33          10.18.21.252        tcp dpt:ssh
ACCEPT     tcp  --  10.18.20.216         10.18.21.252        tcp dpt:ssh
ACCEPT     tcp  --  10.18.21.63          10.18.21.252        tcp dpt:ssh
ACCEPT     tcp  --  10.18.21.2           10.18.21.252        tcp dpt:ssh
ACCEPT     tcp  --  10.18.20.0/24        10.18.21.252        tcp dpt:krb524
ACCEPT     udp  --  10.19.21.0/24        10.18.21.252        udp spt:4443 dpt:krb524
ACCEPT     udp  --  10.19.21.0/24        10.19.21.1          udp spt:4443 dpt:krb524
QUEUE      all  --  10.19.21.4           anywhere

Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     icmp --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:domain
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:domain
ACCEPT     udp  --  anywhere             anywhere            udp spt:domain
ACCEPT     udp  --  anywhere             anywhere            udp dpt:domain
QUEUE      all  --  10.19.21.4           anywhere
QUEUE      all  --  anywhere             10.19.21.4

Chain OUTPUT (policy DROP)
target     prot opt source               destination
ACCEPT     icmp --  anywhere             anywhere
ACCEPT     all  --  Selena               anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:domain
ACCEPT     udp  --  anywhere             anywhere            udp dpt:domain
ACCEPT     tcp  --  10.18.21.252         10.18.20.33         tcp spt:ssh
ACCEPT     tcp  --  10.18.21.252         10.18.20.216        tcp spt:ssh
ACCEPT     tcp  --  10.18.21.252         10.18.21.63         tcp spt:ssh
ACCEPT     tcp  --  10.18.21.252         10.18.21.2          tcp spt:ssh
ACCEPT     tcp  --  10.18.21.252         10.18.20.0/24       tcp spt:krb524
ACCEPT     udp  --  10.18.21.252         10.19.21.0/24       udp dpt:krb524
ACCEPT     udp  --  10.19.21.1           10.19.21.0/24       udp dpt:krb524
QUEUE      all  --  anywhere             10.19.21.4

[root@Selena stargazer]# cat fw
#!/bin/bash
#Машина администратора
admin=10.18.20.33
admin2=10.18.20.216
admin3=10.18.21.63
admin4=10.18.21.2
#Адреса роутера
server0=10.18.21.252
server1=10.19.21.1

# Адрес файлового архива с mp3 и video
video_serv=10.18.21.253

# Интерфейс смотрящий на клиентов
iface_cli=eth1

# Интерфейс смотрящий во внешний мир
iface_world=eth0

# Интерфейс смотрящий на архив
#iface_int=etheth2

#Порты, на которых работает конфигуратор и авторизатор
conf_port=4444
user_port1=4444
user_port2=4443

# Разрешаем форвардинг пакетов между интерфейсами
# Эта штука необязательна, просто в некоторых дистрибутивах
# по умолчанию форвардинг разрешен, а в некоторых - запрещен
# Если мы подстрахуемся, хуже не бкдет
echo "1" > /proc/sys/net/ipv4/ip_forward

# Очищаем правила файрвола
iptables -t filter -F
iptables -t filter -X
iptables -t nat -F
iptables -t nat -X

# Политика по умолчанию DROP: всем всё запрещено
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT DROP

# Разрешаем пингам ходить всюду и всегда
iptables -t filter -A INPUT -p icmp -j ACCEPT
iptables -t filter -A FORWARD -p icmp -j ACCEPT
iptables -t filter -A OUTPUT -p icmp -j ACCEPT

# Разрешаем всё на локальном интерфейсе
iptables -t filter -A INPUT -d 127.0.0.1 -j ACCEPT
iptables -t filter -A OUTPUT -s 127.0.0.1 -j ACCEPT

# Разрешить серверу общаться со внешним миром
iptables -t filter -A INPUT -i $iface_world -j ACCEPT
iptables -t filter -A OUTPUT -o $iface_world -j ACCEPT

# Разрешить видео-серверу обращаться во внешним миром и роутером
iptables -t filter -A INPUT -s $video_serv -j ACCEPT
iptables -t filter -A FORWARD -s $video_serv -j ACCEPT
iptables -t filter -A FORWARD -d $video_serv -j ACCEPT
iptables -t filter -A OUTPUT -d $video_serv -j ACCEPT

# DNS. Замечу, ДНС работает и по TCP и по UDP
iptables -t filter -A INPUT -p tcp --sport 53 -j ACCEPT
iptables -t filter -A FORWARD -p tcp --sport 53 -j ACCEPT
iptables -t filter -A FORWARD -p tcp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -t filter -A INPUT -p udp --sport 53 -j ACCEPT
iptables -t filter -A FORWARD -p udp --sport 53 -j ACCEPT
iptables -t filter -A FORWARD -p udp --dport 53 -j ACCEPT
iptables -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT

# SSH
iptables -t filter -A INPUT -p tcp -s $admin -d $server0 --dport 22 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp -d $admin -s $server0 --sport 22 -j ACCEPT
iptables -t filter -A INPUT -p tcp -s $admin2 -d $server0 --dport 22 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp -d $admin2 -s $server0 --sport 22 -j ACCEPT
iptables -t filter -A INPUT -p tcp -s $admin3 -d $server0 --dport 22 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp -d $admin3 -s $server0 --sport 22 -j ACCEPT
iptables -t filter -A INPUT -p tcp -s $admin4 -d $server0 --dport 22 -j ACCEPT
iptables -t filter -A OUTPUT -p tcp -d $admin4 -s $server0 --sport 22 -j ACCEPT
#FTP
#iptables -t filter -A INPUT -p tcp -s $admin -d $server0 --dport 21 -j ACCEPT
#iptables -t filter -A OUTPUT -p tcp -d $admin -s $server0 --sport 21 -j ACCEPT

# Stargazer configurator
iptables -t filter -A INPUT -p tcp -s 10.18.20.0/24 -d $server0 --dport $conf_port -j ACCEPT
iptables -t filter -A OUTPUT -p tcp -d 10.18.20.0/24 -s $server0 --sport $conf_port -j ACCEPT
#iptables -t filter -A INPUT -p tcp -s 10.19.21.0/24 -d $server1 --dport $conf_port -j ACCEPT
#iptables -t filter -A OUTPUT -p tcp -d 10.19.21.0/24 -s $server1 --sport $conf_port -j ACCEPT
#iptables -t filter -A INPUT -p tcp -s $admin -d $server0 --dport $conf_port -j ACCEPT
#iptables -t filter -A OUTPUT -p tcp -d $admin -s $server0 --sport $conf_port -j ACCEPT

# UDP stargazer InetAccess
iptables -t filter -A INPUT -p udp -s 10.19.21.0/24 --sport $user_port2 -d $server0 --dport $user_port1 -j ACCEPT
iptables -t filter -A OUTPUT -p udp -d 10.19.21.0/24 --dport $user_port1 -s $server0 -j ACCEPT
iptables -t filter -A INPUT -p udp -s 10.19.21.0/24 --sport $user_port2 -d $server1 --dport $user_port1 -j ACCEPT
iptables -t filter -A OUTPUT -p udp -d 10.19.21.0/24 --dport $user_port1 -s $server1 -j ACCEPT


#Маскарад
iptables -t nat -A POSTROUTING -d 0.0.0.0/0 -j MASQUERADE

[root@Selena stargazer]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
213.234.197.235 0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
10.18.0.0       0.0.0.0         255.255.0.0     U     0      0        0 eth0
10.19.0.0       0.0.0.0         255.255.0.0     U     0      0        0 eth1
169.254.0.0     0.0.0.0         255.255.0.0     U     0      0        0 eth1
0.0.0.0         213.234.197.235 0.0.0.0         UG    0      0        0 ppp0

[Slava 1]

1. Пинги на видеосервер идут ?

если нет то попробуй добавить вот это

iptables -A FORWARD -s 10.18.0.0/16 -d 10.19.0.0/16 -j ACCEPT

iptables -A FORWARD -d 10.18.0.0/16 -s 10.19.0.0/16 -j ACCEPT

2. у клиентов должен быть прописан шлюз 10.19.21.1

3. на видеосервере пропиши шлюз 10.18.21.252

4. удали маршрут

169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth1

это можеш сделать так

route del -net 169.254.0.0 netmask 255.255.0.0 gw 0.0.0.0 dev eth1

[CronAcronis 0]

1. Пинги на видеосервер идут ?

если нет то попробуй добавить вот это

iptables -A FORWARD -s 10.18.0.0/16 -d 10.19.0.0/16 -j ACCEPT

iptables -A FORWARD -d 10.18.0.0/16 -s 10.19.0.0/16 -j ACCEPT

2. у клиентов должен быть прописан шлюз 10.19.21.1

3. на видеосервере пропиши шлюз 10.18.21.252

4. удали маршрут

169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth1

это можеш сделать так

route del -net 169.254.0.0 netmask 255.255.0.0 gw 0.0.0.0 dev eth1

После добавления форвардов пинги не пошли.

У клиентов шлюз 10.19.21.1

Зачем прописывать шлюз на видеосервере?

Маршрут удалил.

[Den_LocalNet 1 474]

по трасе где облом?

а сервер вообще роутит на видео? "оно ему вообще надо"?

а инет НАТом бегает?если остановить FW пинги идут на видео?

[XoRe 0]

А видео сервер - шара с фильмами или программа, которая пускает видео мультикастами/бродкастами?

[CronAcronis 0]

Пингов 10.18.21.* вообще нет!

Видеосервер это DC HUB, и TeamSpeak Server.

[mauricio 0]

Я конечно со старгейзером только начал...

 

Но объясни зачем заремил?

# Интерфейс смотрящий на архив

#iface_int=etheth2

 

да еще 2 интерфейса...

[CronAcronis 0]

Закомментил потому что интерфейса всего 2 :vah: eth0 и eth1

 

eth0 смотрит в сторону внешней локальной сети с основным роутером 10.18.21.254, с которым установлено соединение ppp0, и с видео сервером 10.18.21.253.

[S_ergey 21]

на видеосервере 10.18.21.253 сделать

route add -net 10.19.21.0/24 gw 10.18.21.252