Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка IPTables на три интерфейса (LAN, интернет, VPN)

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки

Открыть новую тему     Написать ответ в эту тему

Zevs1998

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Помогите разобраться с настройкой:
Имеем интернет-шлюз на Alt-Master 2.2 Linux, внутренняя сеть 192.168.0.0/24, в неё смотрит сетевая карта eth1 192.168.0.66, вторая сетевая карта eth0 смотрит на внешний настоящий IP *.*.*.*, на котором стоит ADSL-модем провайдера. Всё настроено и работает, юзеры ходят в инет, из инета настроена переадресация на находящиеся внутри сетки FPT, терминальные сервера и прочее что надо...
 
Для прямой защищённой связи с сетью удалённого офиса провайдер выделил еще один канал VPN, на ещё одном ADSL-модеме, причём адрес этого модема из адресного пространства моей сети (192.168.0.99, конечно в сети этот адрес не задействован), а на другом конце VPN (удалённом офисе) адрес ADSL-модема - 192.168.100.102) - так же из адресного пространства сетки удалённого офиса.
Если этот модем воткнуть в сеть (непосредственно в сетевой Switch), то сеть удалённого офиса видна только если адреса шлюза на всех компах поменять с адреса Linux-шлюза (192.168.0.66) на адрес этого модема VPN (192.168.0.99), но тогда у всех юзеров пропадает интернет. Добавление второго шлюза в настройках соединений на клиентских компах под Windows-XP в любом случае не даёт нужного результата, получается либо один либо второй шлюз - ИМХО ВИНДА вообще с двумя шлюзами работать не умеет нормально.
 
Воткнул в LINUX третью сетевую карту, настроил её как eth2, воткнул в неё модем VPN-канала (адрес eth2 - есть адрес модема 192.168.0.99).
 
Как настроить IPTables, не изменяя существующих правил по работе в интернет, чтобы юзеры свободно, без всяких ограничений ходили в сеть удалённого офиса (192.168.100.0/24) и обратно.
Понимаю, что все пакеты, исходящие с eth1 и имеющие адрес назначение 192.168.100.0/24 должны перенаправляться на eth2, а не лезть на eth0 и наоборот, пакеты, поступающие с eth2, должны направляться на интерфейс eth1 , но как это прописать. Шлюзом указан интерфейс eth0, и все пинги на 192.168.100.0/24 идут на него.
 
Подскажите, каким образом это организовать?
 
Кроме того ни при каких настройках не могу добиться, чтобы пинговался модем с другой стороны VPN ( 192.168.100.102), даже если тупо оставляю один интерфейс eth2 и убираю все правила IPTables (открыто всё).  
 
Всего записей: 10 | Зарегистр. 06-02-2005 | Отправлено: 14:41 06-05-2008
Dimitrijj

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Шлюзом указан интерфейс eth0, и все пинги на 192.168.100.0/24 идут на него.  

На шлюз по умолчанию идут все пакеты для которых не найден маршрут.  

Цитата:
Воткнул в LINUX третью сетевую карту, настроил её как eth2, воткнул в неё модем VPN-канала (адрес eth2 - есть адрес модема 192.168.0.99).  

На линуксе добавьте маршрут в сеть удалённого офиса (192.168.100.0/24) через  192.168.0.99.  
route add -net 192.168.100.0 netmask 255.255.255.0 dev eth2
В iptables разрешите FORWARD eth1 --> eth2 и INPUT eth2 --> eth1.
 
Чтобы 192.168.0.99 пинговался снаружи, для него надо разрешить INPUT --icmp-type 8 и --icmp-type 11
 

Цитата:
Если этот модем воткнуть в сеть (непосредственно в сетевой Switch

Можно и так. В этом случае нужно либо на всех компах (скриптом через политику) либо на линуксе добавить маршрут в сеть удалённого офиса (192.168.100.0/24) через  192.168.0.99. И все, iptables ни при чем.
 
Если я правильно понял, то 192.168.0.99 и 192.168.100.0 в разных сетях. Но при этом сеть удалённого офиса видна. Стало быть между ними есть маршрутизатор(ы), который(е) может блокировать пинг снаружи. Сам модем тоже стоит посмотреть на этот предмет.
Всего записей: 65 | Зарегистр. 24-04-2008 | Отправлено: 02:18 11-05-2008
pimaxc



Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
добрый день господа
 у провайдера есть внутренн сетка . т.е можно ходит к кому то по внутренному. и это бесплатно. конечно прокси поднять и всё. но если на роутер инет стоит линукс как настроит ip table чтобы он все пакты через прокси отправлял? т.е  сетка провайдера допустим  
 aa.aa.aaa.aa (то что выдано для подключение) прокси почти такой же aa.aa.abb.bb:xxxx
 локалько 192.168.х.х  
 как в этом случае заставит iptable направить инет только через прокси
Всего записей: 16 | Зарегистр. 13-06-2009 | Отправлено: 07:39 16-05-2010
urodliv



Gold Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
pimaxc
Вот почитал я ваш пост и честно говоря мало что понял. Может быть вы нарисуете схему того, что хотите? Только подробно.

----------
Очень скоро еда станет совершенно безвкусной, и тогда этот недостаток придётся компенсировать хорошо развитым воображением.
Всего записей: 6762 | Зарегистр. 29-04-2009 | Отправлено: 11:57 16-05-2010
pimaxc



Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
вот схема  
inet работает у провайдер через внутренная сетка так как нет белого ip типа нет . получается что 2 пользователи которые подключены к интернету через этот же провайдер могут бесплатно обменивать данные. хочется осуществить выход в инет через поднятого прокси одному пользователю не путем прописка прокси в типе подключение или броузера а заставить iptable перенаправить весь уходяший в интернет пакеты через этот прокси.  
 по схему пользователь 1  и пользователь2(поднять прокси). какая комманда прописать чтобы выход к интернету для пользователь 1  
поль1----комманда iptable--- пользователь2proxy----интернет
 на пользователь 1 роутер работает на линукс и на пользователь 2
Всего записей: 16 | Зарегистр. 13-06-2009 | Отправлено: 20:38 16-05-2010
urodliv



Gold Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
pimaxc
Только без обид. Я от вашего русского языка, пропущенного через переводчик, просто голову сломал. Схему я так и не понял, ну да не мои проблемы.
Посмотрите в мане директиву REDIRECT.

----------
Очень скоро еда станет совершенно безвкусной, и тогда этот недостаток придётся компенсировать хорошо развитым воображением.
Всего записей: 6762 | Зарегистр. 29-04-2009 | Отправлено: 20:48 16-05-2010
vlary



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
pimaxc
Ты на русский через Гугл переводишь, что ли? Можешь на английском, мы поймем.  
На пользователь 2 прописать дефолт роуте на пользователь 1, а тому просто разрешить пользователь 2 пользоваться НАТом.
Всего записей: 17287 | Зарегистр. 13-06-2007 | Отправлено: 20:50 16-05-2010 | Исправлено: vlary, 20:50 16-05-2010
yakostik

Full Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
pimaxc
Из того что понял по вашему посту могу предложить что то типа такого
 
-A PREROUTING -s 10.0.0.0/255.255.255.0 -d ! сеть провайдера -p tcp -m multiport --dports ! 110,25 -j REDIRECT --to-ports 3128  
 
тоесть все что приходит от сети 10.0.0.х и адрес назначения не сеть провайдера и порт назначения не 110,25 перенапривить на порт 3128 где собство и висит скажем squit во всяком случае у меня прозраынй прокси был так реализован на всех машинал пользователей Linux сервер был прописан шлюзом по умолчанию.
Всего записей: 408 | Зарегистр. 30-03-2006 | Отправлено: 21:00 16-05-2010
pimaxc



Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
спасибо за советы
перевод говорите!!! без перевода. просто пить меньше надо.(я про себе). что там сложно? повторяю:
 есть провайдер ххтелеком  
 он(провайдер) передает клиентам ip адреса для подключение к инету
 соот-венно у прова внутренную сетку. по нему гуляй как хочешь.
 но чтобы не ставить у польз 1 сервак надо перенаправить весь  интернет польз1 на прокси польз2
 конечно всё этого через локалко провайдера
вроди прописал прокси на компах польз1  
но хотелось бы чтобы перенапрвление сделал роутер польз1 через iptable
хотя есть идее отрубить внешку(т.е внешный инет провайдера) на польз 1 и оставить только прокси
ещё раз простите за всё.  
     
Всего записей: 16 | Зарегистр. 13-06-2009 | Отправлено: 21:54 16-05-2010
Открыть новую тему     Написать ответ в эту тему

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Настройка IPTables на три интерфейса (LAN, интернет, VPN)


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2025

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru