AcidSly Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору сеть класса B у Вас???   Вы ничего не путаете???? Что такое "преобразователь"???   Если все таки у Вас имеется несколько сетей класса С, то думается мне, что необходимо "преобразователь" заменить на маршрутизатор (аппаратный или софтовый Вам решать) и настроить маршрутизацию сетей, собственно прописать маршруты. Всего записей: 401 | Зарегистр. 24-01-2003 | Отправлено: 17:59 03-06-2008

veryom Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: есть роутер в этой подести на ip=192.168.1.1 на wan порту роутера ,есть вторая подсеть c такой конфой ip=10.9.112.72,gateway=10.9.112.1,mask=255.255.255.240     как можно через iptables сделать следующее: чтобы 192.168.1.2 мог ходить в сеть 10.9.112 и в шлюз 10.9.112.1 чтобы 192.168.1.3 мог ходить только в сеть 10.9.112   Код: iptables -I INPUT 1 -s 192.168.1.2 -j ACCEPT iptables -I INPUT 1 -s 192.168.1.3 -d 10.9.112.0/28 -j ACCEPT ---------- Как обойти административные ограничения Всего записей: 1242 | Зарегистр. 24-03-2006 | Отправлено: 16:25 11-06-2008

veryom Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору AlexeiKozlov   Уточняю: 1. 192.168.1.3 может выходить за маршрутизатор 10.9.112.1. 2. 10.9.112.x (т.е. все остальные) могут ходить только в сеть 10.9.112.72, но не за маршрутизатор 10.9.112.1.   Делаем так: Код: iptables -I INPUT 1 -s 192.168.1.2 -j ACCEPT iptables -I INPUT 1 -s 192.168.1.0/24 -d 10.9.112.0/28 -j ACCEPT     Ниже, естественно, по-умолчанию всем запрет. Логика: клиент с адресом 192.168.1.2 пройдет, куда бы он не захотел. Клиент с адресом из сети 192.168.1.0/24, но не 192.168.1.2, пройдет только если адрес назначения будет из сети 10.9.112.0/28, т.е. дальше маршрутизатора 10.9.112.1 он не выйдет. Если у него адрес назначения будет лежать вне диапазонов сетей 192.168.1.0/24 и 10.9.112.0/28, то первый маршрутизатор его остановит. ---------- Как обойти административные ограничения Всего записей: 1242 | Зарегистр. 24-03-2006 | Отправлено: 18:45 11-06-2008

veryom Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору AlexeiKozlov Цитата: я с 1.2 выхожу в инет.но я смог выйти,когда не было строчки   У тебя в цепочках действие по-умолчанию ACCEPT. Надо DROP. ---------- Как обойти административные ограничения Всего записей: 1242 | Зарегистр. 24-03-2006 | Отправлено: 19:21 11-06-2008

AlexeiKozlov Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору veryom как переделать? просто я iptables не могу вручную управлять. подскажи? у меня есть web фейс над iptables и все.   Добавлено: в смысле,не знаю ,как сменить умолчание через iptables.   Добавлено: я так понимаю ,что цепочка MACS нарушает все эту картину? Всего записей: 2188 | Зарегистр. 16-10-2004 | Отправлено: 19:28 11-06-2008

veryom Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору AlexeiKozlov   Я ступил. Правила Код: iptables -I FORWARD 1 -s 192.168.1.2 -j ACCEPT iptables -I FORWARD 1 -s 192.168.1.0/24 -d 10.9.112.72/28 -j ACCEPT нужно добавлять в цепочку FORWARD.   И лучше использовать параметр -v в выводе iptables. Покажи снова iptables -L -v и iptables -L -v -t nat ---------- Как обойти административные ограничения Всего записей: 1242 | Зарегистр. 24-03-2006 | Отправлено: 20:51 11-06-2008 | Исправлено: veryom, 21:08 11-06-2008

AlexeiKozlov Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору [admin1@(none) root]$ iptables -L -v Chain INPUT (policy ACCEPT 197 packets, 35954 bytes)  pkts bytes target     prot opt in     out     source               destination  5538 1513K MACS       all  --  br0    any     anywhere             anywhere     0     0 DROP       all  --  any    any     anywhere             anywhere           state INVALID  9405  829K ACCEPT     all  --  any    any     anywhere             anywhere           state RELATED,ESTABLISHED   664 39840 ACCEPT     all  --  lo     any     anywhere             anywhere           state NEW   101  5582 ACCEPT     all  --  br0    any     anywhere             anywhere           state NEW   Chain FORWARD (policy ACCEPT 1634 packets, 90804 bytes)  pkts bytes target     prot opt in     out     source               destination     0     0 ACCEPT     all  --  any    any     192.168.1.0/24       10.9.112.64/28     4   160 ACCEPT     all  --  any    any     192.168.1.2          anywhere  749K  669M MACS       all  --  br0    any     anywhere             anywhere     0     0 ACCEPT     all  --  br0    br0     anywhere             anywhere     0     0 DROP       all  --  any    any     anywhere             anywhere           state INVALID 1859K 1564M ACCEPT     all  --  any    any     anywhere             anywhere           state RELATED,ESTABLISHED     0     0 DROP       all  --  !br0   vlan1   anywhere             anywhere     4   192 ACCEPT     all  --  any    any     anywhere             anywhere           ctstate DNAT     0     0 DROP       all  --  any    br0     anywhere             anywhere   Chain OUTPUT (policy ACCEPT 14758 packets, 4092K bytes)  pkts bytes target     prot opt in     out     source               destination   Chain MACS (2 references)  pkts bytes target     prot opt in     out     source               destination  751K  669M RETURN     all  --  any    any     anywhere             anywhere           MAC 00:0C:6E:EE:04:F8     0     0 RETURN     all  --  any    any     anywhere             anywhere           MAC 00:1C:B3:B4:9F:78     0     0 RETURN     all  --  any    any     anywhere             anywhere           MAC 00:1C:B3:2C:38:8B     0     0 RETURN     all  --  any    any     anywhere             anywhere           MAC 00:1B:63:9B:2F:7A     0     0 RETURN     all  --  any    any     anywhere             anywhere           MAC 00:11:0A:2C:F1:F9     0     0 RETURN     all  --  any    any     anywhere             anywhere           MAC 00:1E:8C:78:57:3B     0     0 RETURN     all  --  any    any     anywhere             anywhere           MAC 00:13:CE:5C:45:3B     0     0 RETURN     all  --  any    any     anywhere             anywhere           MAC 00:80:48:28:CB:48  3735 1398K DROP       all  --  any    any     anywhere             anywhere   Chain SECURITY (0 references)  pkts bytes target     prot opt in     out     source               destination     0     0 RETURN     tcp  --  any    any     anywhere             anywhere           tcp flags:SYN,RST,ACK/SYN limit: avg 1/sec burst 5     0     0 RETURN     tcp  --  any    any     anywhere             anywhere           tcp flags:FIN,SYN,RST,ACK/RST limit: avg 1/sec burst 5     0     0 RETURN     udp  --  any    any     anywhere             anywhere           limit: avg 5/sec burst 5     0     0 RETURN     icmp --  any    any     anywhere             anywhere           limit: avg 5/sec burst 5     0     0 DROP       all  --  any    any     anywhere             anywhere   Chain logaccept (0 references)  pkts bytes target     prot opt in     out     source               destination     0     0 LOG        all  --  any    any     anywhere             anywhere           state NEW LOG level warning tcp-sequence tcp-options ip-options prefix `ACCEPT '     0     0 ACCEPT     all  --  any    any     anywhere             anywhere   Chain logdrop (0 references)  pkts bytes target     prot opt in     out     source               destination     0     0 LOG        all  --  any    any     anywhere             anywhere           state NEW LOG level warning tcp-sequence tcp-options ip-options prefix `DROP '     NAT   [admin1@(none) root]$ iptables -L -v -t nat Chain PREROUTING (policy ACCEPT 2061 packets, 159K bytes)  pkts bytes target     prot opt in     out     source               destination     9  6502 VSERVER    all  --  any    any     anywhere             10.9.112.72     0     0 NETMAP     udp  --  any    any     anywhere             10.9.112.72        udp spt:6112 192.168.1.0/24     0     0 autofw     tcp  --  br0    any     anywhere             anywhere           tcp dpt:9018 autofw tcp dpt:9018 to:9018     0     0 autofw     udp  --  br0    any     anywhere             anywhere           udp dpt:12164 autofw udp dpt:12164 to:12164     0     0 autofw     tcp  --  br0    any     anywhere             anywhere           tcp dpt:ftp autofw tcp dpt:21 to:21     0     0 autofw     tcp  --  br0    any     anywhere             anywhere           tcp dpt:43123 autofw tcp dpt:43123 to:43123   Chain POSTROUTING (policy ACCEPT 694 packets, 42193 bytes)  pkts bytes target     prot opt in     out     source               destination     0     0 NETMAP     udp  --  any    any     192.168.1.0/24       anywhere           udp dpt:6112 10.9.112.72/32  1539 85406 MASQUERADE  all  --  any    vlan1  !10.9.112.72          anywhere     4   240 MASQUERADE  all  --  any    br0     192.168.1.0/24       192.168.1.0/24   Chain OUTPUT (policy ACCEPT 694 packets, 42241 bytes)  pkts bytes target     prot opt in     out     source               destination   Chain VSERVER (1 references)  pkts bytes target     prot opt in     out     source               destination     0     0 DNAT       tcp  --  any    any     anywhere             anywhere           tcp dpt:6113 to:192.168.1.2:6113     0     0 DNAT       udp  --  any    any     anywhere             anywhere           udp dpt:16183 to:192.168.1.23:16183     0     0 DNAT       udp  --  any    any     anywhere             anywhere           udp dpt:6113 to:192.168.1.2:6113     0     0 DNAT       tcp  --  any    any     anywhere             anywhere           tcp dpt:16183 to:192.168.1.23:16183     2   104 DNAT       tcp  --  any    any     anywhere             anywhere           tcp dpt:16000 to:192.168.1.2:16000     0     0 DNAT       udp  --  any    any     anywhere             anywhere           udp dpt:16000 to:192.168.1.2:16000     0     0 DNAT       tcp  --  any    any     anywhere             anywhere           tcp dpts:ftp-data:ftp to:192.168.1.2     0     0 DNAT       tcp  --  any    any     anywhere             anywhere           tcp dpt:6113 to:192.168.1.2:6113     0     0 DNAT       udp  --  any    any     anywhere             anywhere           udp dpt:6113 to:192.168.1.2:6113     0     0 DNAT       tcp  --  any    any     anywhere             anywhere           tcp dpt:6200 to:192.168.1.2:6200     0     0 DNAT       udp  --  any    any     anywhere             anywhere           udp dpt:6200 to:192.168.1.2:6200     0     0 DNAT       tcp  --  any    any     anywhere             anywhere           tcp dpt:6114 to:192.168.1.2:6114     0     0 DNAT       udp  --  any    any     anywhere             anywhere           udp dpt:6114 to:192.168.1.2:6114     0     0 DNAT       tcp  --  any    any     anywhere             anywhere           tcp dpt:6112 to:192.168.1.2:6112     0     0 DNAT       udp  --  any    any     anywhere             anywhere           udp dpt:6112 to:192.168.1.2:6112     0     0 DNAT       tcp  --  any    any     anywhere             anywhere           tcp dpt:bbs to:192.168.1.2:7000     0     0 DNAT       udp  --  any    any     anywhere             anywhere           udp dpt:7000 to:192.168.1.2:7000     0     0 DNAT       tcp  --  any    any     anywhere             anywhere           tcp dpt:7001 to:192.168.1.23:7001     0     0 DNAT       udp  --  any    any     anywhere             anywhere           udp dpt:7001 to:192.168.1.23:7001     0     0 DNAT       tcp  --  any    any     anywhere             anywhere           tcp dpt:16001 to:192.168.1.23:16001     0     0 DNAT       udp  --  any    any     anywhere             anywhere           udp dpt:16001 to:192.168.1.23:16001     0     0 DNAT       tcp  --  any    any     anywhere             anywhere           tcp dpt:14199 to:192.168.1.2:14199     0     0 DNAT       udp  --  any    any     anywhere             anywhere           udp dpt:14199 to:192.168.1.2:14199     0     0 DNAT       tcp  --  any    any     anywhere             anywhere           tcp dpt:7002 to:192.168.1.15:7002     0     0 DNAT       udp  --  any    any     anywhere             anywhere           udp dpt:7002 to:192.168.1.15:7002     0     0 DNAT       tcp  --  any    any     anywhere             anywhere           tcp dpt:27950 to:192.168.1.2:27950     0     0 DNAT       udp  --  any    any     anywhere             anywhere           udp dpt:27950 to:192.168.1.2:27950     0     0 DNAT       tcp  --  any    any     anywhere             anywhere           tcp dpt:27952 to:192.168.1.2:27952     0     0 DNAT       udp  --  any    any     anywhere             anywhere           udp dpt:27952 to:192.168.1.2:27952     0     0 DNAT       tcp  --  any    any     anywhere             anywhere           tcp dpt:27960 to:192.168.1.2:27960     2    88 DNAT       udp  --  any    any     anywhere             anywhere           udp dpt:27960 to:192.168.1.2:27960     0     0 DNAT       tcp  --  any    any     anywhere             anywhere           tcp dpt:27965 to:192.168.1.2:27965     0     0 DNAT       udp  --  any    any     anywhere             anywhere           udp dpt:27965 to:192.168.1.2:27965   это уже с учетом твоих правил на forward.   слушай,а после добавления правило,оно сразу начнет работать да?   пока не работает я добавил одно твое правило для подсети. и с умели выйти на шлюз. Всего записей: 2188 | Зарегистр. 16-10-2004 | Отправлено: 22:03 11-06-2008

veryom Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Интерфейс br0 смотрит в сеть 192.168.1.0/24? Нужно в цепочке FORWARD либо политику изменить на DROP, либо в последнем правиле изменить интерфейс out, т.е. вместо Код: DROP       all  --  any    br0     anywhere             anywhere нужно Код: DROP       all  --  any    any     anywhere             anywhere Попробуй изменить политику по-умолчанию iptables -P FORWARD DROP или изменить последнее правило iptables -R FORWARD 9 -j DROP. ---------- Как обойти административные ограничения Всего записей: 1242 | Зарегистр. 24-03-2006 | Отправлено: 22:42 11-06-2008

AlexeiKozlov Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: Интерфейс br0 смотрит в сеть 192.168.1.0/24? ага.   применил вот это  iptables -P FORWARD DROP и все стало работать как надо   объяснишь логику? почему именно так? спасибо! Всего записей: 2188 | Зарегистр. 16-10-2004 | Отправлено: 22:55 11-06-2008

veryom Advanced Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору AlexeiKozlov Цитата: объяснишь логику? почему именно так?     Вот рисунок прохождения пакетов в iptables:    (хорошая статья: Руководство по iptables (Iptables Tutorial 1.1.19))   Если пакет идет изнутри наружу (адрес источника в сети 192.168.1.0/24, а адрес назначения в сети  10.9.112.64/28 или в Интернете), то после принятия решения о маршрутизации пакет попадет в цепочку FORWARD таблицы filter. А дальше к нему будут применяться правила. Пакет от клиента с адресом из сети 192.168.1.0/24, но не 192.168.1.2, не подпадает ни под одно правило в цепочке FORWARD, соответственно, к нему применяется политика по-умолчанию. Раньше она была ACCEPT, т.е. пакеты пропускались, а сейчас - DROP и пакеты сбрасываются. ---------- Как обойти административные ограничения Всего записей: 1242 | Зарегистр. 24-03-2006 | Отправлено: 23:12 11-06-2008

Ruza Gold Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору AlexeiKozlov Прячь листинги за more решение твоей проблемы: *mangle -A PREROUTING -s 192.168.1.2 -d 10.9.112.1 -j ACCEPT -A PREROUTING -s 192.168.1.0/24 -d 10.9.112.1 -j DROP *filter -A FORWARD -s 192.168.1.0/24 -j ACCEPT -A FORWARD -d 192.168.1.0/24 -j ACCEPT -A FORWARD -s 10.9.112.0/28 -j ACCEPT -A FORWARD -d 10.9.112.0/28 -j ACCEPT     Добавлено: Цитата: блин где ошибка?   Лучше промолчу... ---------- Fools rush in where angels fear to tread. Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 01:40 13-07-2008

AlexeiKozlov Silver Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Ruza а где ошибка у тебя?   потому что,добавив в таблу mangle те два правила. в ней кстати политика по умолчанию ACCEPT.   и ничего не добавляя в filter/forward ,не пускает никуда.   добавляю -A FORWARD -s 192.168.1.0/24 -j ACCEPT   и сразу у всех все хорошо.и инет есть,и сеть.без разницы какой ip.   смотрю статистику в mangle,там на эти двух правилах не увеличиваются байты,только на самой mangle. Всего записей: 2188 | Зарегистр. 16-10-2004 | Отправлено: 12:12 13-07-2008

Ruza Gold Member Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору AlexeiKozlov выполни iptables-save и покажи все правила... ---------- Fools rush in where angels fear to tread. Всего записей: 5472 | Зарегистр. 10-09-2003 | Отправлено: 06:49 15-07-2008

Страницы: 1 2

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Закладки » Маршрутизация

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование