The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Два ip на одной сетевухе. Как настроить iptables"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [ Отслеживать ]

"Два ip на одной сетевухе. Как настроить iptables"  
Сообщение от toshkin email(ok) on 29-Ноя-07, 11:28 
Добрый день. Проблема в следущем:
есть прокси-сервер на ASPLinux, настроен iptables, squid.
одна сетевуха eth0 смотрит в инет, вторая eth1 смотрит в локальную сеть(192.168.0.0).
eth0 имеет ip-адрес 87.249.x.x, шлюз 87.249.y.y, маска 255.255.255.0
На eth0 сделал alias eth0:0 с ip-адресом 10.0.105.204(удаленная сеть), с таким же шлюзом и маской
Цель: нужно пропинговать комп 10.0.105.205 с удаленной сети.
Т.е. нужно чтобы запрос, приходящий из внутренней сети 192.168.0.0 на 10.0.105.205 выходил наружи через eth0:0, а остальные запросы шли бы как раньше через eth0

Помогите настроить iptables, или хотя бы навести на нужную мысль. Зпстрял, не знаю в каком направлении двигаться

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Два ip на одной сетевухе. Как настроить iptables"  
Сообщение от toshkin email(ok) on 29-Ноя-07, 12:55 
да, кстати, при выключенном iptables все работает
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Два ip на одной сетевухе. Как настроить iptables"  
Сообщение от reader (ok) on 29-Ноя-07, 13:03 
>да, кстати, при выключенном iptables все работает

ну вообще заинтриговал :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Два ip на одной сетевухе. Как настроить iptables"  
Сообщение от reader (ok) on 29-Ноя-07, 12:59 
>Добрый день. Проблема в следущем:
>есть прокси-сервер на ASPLinux, настроен iptables, squid.
>одна сетевуха eth0 смотрит в инет, вторая eth1 смотрит в локальную сеть(192.168.0.0).
>
>eth0 имеет ip-адрес 87.249.x.x, шлюз 87.249.y.y, маска 255.255.255.0

1
>На eth0 сделал alias eth0:0 с ip-адресом 10.0.105.204(удаленная сеть), с таким же
>шлюзом и маской

какой адрес шлюза?

>Цель: нужно пропинговать комп 10.0.105.205 с удаленной сети.
>Т.е. нужно чтобы запрос, приходящий из внутренней сети 192.168.0.0 на 10.0.105.205 выходил
>наружи через eth0:0, а остальные запросы шли бы как раньше через
>eth0
>
>Помогите настроить iptables, или хотя бы навести на нужную мысль. Зпстрял, не
>знаю в каком направлении двигаться

выше SNAT-а с --to-source 87.249.x.x добавить типа этого

-A POSTROUTING -o eth0 -s 192.168.0.0/255.255.255.0 -d 10.0.105.0/255.255.255.0 -j SNAT --to-source 10.0.105.204

и с помощью route прописать маршрут к 10.0.105.0 подсети

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Два ip на одной сетевухе. Как настроить iptables"  
Сообщение от toshkin email(ok) on 29-Ноя-07, 14:37 
Огромное человеческое спасибо, все получилось и заработало.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Два ip на одной сетевухе. Как настроить iptables"  
Сообщение от toshkin (ok) on 08-Фев-08, 10:44 
Добрый День, Уважаемые.
А не подскажете, как теперь пропинговать с адреса 10.0.105.205 сеть 192.168.0.0
Какое правило нужно написать для iptables. Запутылся я....
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Два ip на одной сетевухе. Как настроить iptables"  
Сообщение от reader (ok) on 08-Фев-08, 14:05 
>Добрый День, Уважаемые.
>А не подскажете, как теперь пропинговать с адреса 10.0.105.205 сеть 192.168.0.0
>Какое правило нужно написать для iptables. Запутылся я....

а на 10.0.105.205 маршрут к 192.168.0.0 прописан?
кто у 10.0.105.205 является шлюзом?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Два ip на одной сетевухе. Как настроить iptables"  
Сообщение от toshkin (ok) on 08-Фев-08, 14:51 
>а на 10.0.105.205 маршрут к 192.168.0.0 прописан?

не прописывал,
10.0.105.205 на Windows XP
так будет правильно?:
route -p add 192.168.0.0 mask 255.255.0.0 87.249.z.z

>кто у 10.0.105.205 является шлюзом?

шлюз: 87.249.z.z

PS.
Просто адрес 10.0.105.204, который на шлюзе, пингуется с машины 10.0.105.205.
Раз пакеты доходят до шлюза 10.0.105.204, то их наверно можно дальше протолкнуть на 192.168.0.9 и дальше в локалку 192.168.0.0. вот только как это сделать???

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Два ip на одной сетевухе. Как настроить iptables"  
Сообщение от toshkin (ok) on 08-Фев-08, 15:15 
>>а на 10.0.105.205 маршрут к 192.168.0.0 прописан?
>
>не прописывал,
>10.0.105.205 на Windows XP
>так будет правильно?:
>route -p add 192.168.0.0 mask 255.255.0.0 87.249.z.z

сам отвечу, что неправильно написал.
Правильно не знаю как


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Два ip на одной сетевухе. Как настроить iptables"  
Сообщение от reader (ok) on 08-Фев-08, 15:42 
>>>а на 10.0.105.205 маршрут к 192.168.0.0 прописан?
>>
>>не прописывал,
>>10.0.105.205 на Windows XP
>>так будет правильно?:
>>route -p add 192.168.0.0 mask 255.255.0.0 87.249.z.z
>
>сам отвечу, что неправильно написал.
>Правильно не знаю как

если машины с IP 192.168.0.x, для 10.0.105.205 находятся за 10.0.105.204, то пакеты для 192.168.0.x должны отправляться через 10.0.105.204

возможно так
route -p add 192.168.0.0 mask 255.255.0.0 10.0.105.204

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Два ip на одной сетевухе. Как настроить iptables"  
Сообщение от reader (ok) on 08-Фев-08, 15:50 
>[оверквотинг удален]
>>>route -p add 192.168.0.0 mask 255.255.0.0 87.249.z.z
>>
>>сам отвечу, что неправильно написал.
>>Правильно не знаю как
>
>если машины с IP 192.168.0.x, для 10.0.105.205 находятся за 10.0.105.204, то пакеты
>для 192.168.0.x должны отправляться через 10.0.105.204
>
>возможно так
>route -p add 192.168.0.0 mask 255.255.0.0 10.0.105.204

и в зависимости от настроек в сети 192.168.0.0, может потребоваться SNAT на eth1

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Два ip на одной сетевухе. Как настроить iptables"  
Сообщение от toshkin (ok) on 08-Фев-08, 16:05 
>и в зависимости от настроек в сети 192.168.0.0, может потребоваться SNAT на
>eth1

а можно поподробнее

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Два ip на одной сетевухе. Как настроить iptables"  
Сообщение от toshkin (ok) on 08-Фев-08, 16:02 
>возможно так
>route -p add 192.168.0.0 mask 255.255.0.0 10.0.105.204

добавил этот маршрут, ничего не изменилось

добавил маршрут
route -p add 192.168.0.0 mask 255.255.0.0 192.168.0.9

теперь шлюз 192.168.0.9 пингуется с адреса 10.0.105.205,
но остальные адреса сети 192.168.0.0 не пингуются

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Два ip на одной сетевухе. Как настроить iptables"  
Сообщение от reader (ok) on 08-Фев-08, 16:32 
>>возможно так
>>route -p add 192.168.0.0 mask 255.255.0.0 10.0.105.204
>
>добавил этот маршрут, ничего не изменилось
>

1
>добавил маршрут
>route -p add 192.168.0.0 mask 255.255.0.0 192.168.0.9

на машине 10.0.105.205?
чей адрес 192.168.0.9 , машины с ip 10.0.105.204?

2
>
>теперь шлюз 192.168.0.9 пингуется с адреса 10.0.105.205,
>но остальные адреса сети 192.168.0.0 не пингуются

или я неправильно понимаю топологию вашей сети, или ...
неплохо было бы увидеть таблицы маршрутизации с 10.0.105.205, 10.0.105.204 и с машины из 192.168.0.0

про SNAT
https://www.opennet.ru/docs/RUS/iptables/#SNATTARGET

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Два ip на одной сетевухе. Как настроить iptables"  
Сообщение от toshkin (ok) on 08-Фев-08, 16:49 
>1
>>добавил маршрут
>>route -p add 192.168.0.0 mask 255.255.0.0 192.168.0.9
>
>на машине 10.0.105.205?

да, этот маршрут прописал на 10.0.105.205
>чей адрес 192.168.0.9 , машины с ip 10.0.105.204?

да, адрес 192.168.0.9 - это адрес машины с ip 10.0.105.204
на этой машине:
192.168.0.9 = eth1, смотрит в локальную сеть
87.249.x.x = eth0, смотрит в инет
10.0.105.204 = eth0:0, смотрит в сеть 10.0.105.0

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Два ip на одной сетевухе. Как настроить iptables"  
Сообщение от toshkin (ok) on 08-Фев-08, 17:20 
>или я неправильно понимаю топологию вашей сети, или ...
>неплохо было бы увидеть таблицы маршрутизации с 10.0.105.205, 10.0.105.204 и с машины
>из 192.168.0.0

вывод команды route print c 10.0.105.205:
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0     10.0.105.204    10.0.105.205       1
          0.0.0.0          0.0.0.0   87.249.249.249    10.0.105.205       1
       10.0.105.0    255.255.255.0     10.0.105.205    10.0.105.205       1
     10.0.105.205  255.255.255.255        127.0.0.1       127.0.0.1       1
   10.255.255.255  255.255.255.255     10.0.105.205    10.0.105.205       1
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      192.168.0.0      255.255.0.0     10.0.105.204    10.0.105.205       1
      192.168.0.0      255.255.0.0      192.168.0.9    10.0.105.205       1
        224.0.0.0        224.0.0.0     10.0.105.205    10.0.105.205       1
  255.255.255.255  255.255.255.255     10.0.105.205    10.0.105.205       1
Основной шлюз:      87.249.249.249
===========================================================================
Постоянные маршруты:
  Отсутствует

вывод команды route print c 192.168.0.11:
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.0.9    192.168.0.11       20
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      169.254.0.0      255.255.0.0     192.168.0.11    192.168.0.11       30
      192.168.0.0    255.255.255.0     192.168.0.11    192.168.0.11       20
     192.168.0.11  255.255.255.255        127.0.0.1       127.0.0.1       20
    192.168.0.255  255.255.255.255     192.168.0.11    192.168.0.11       20
        224.0.0.0        240.0.0.0     192.168.0.11    192.168.0.11       20
  255.255.255.255  255.255.255.255     192.168.0.11    192.168.0.11       1
Основной шлюз:         192.168.0.9
===========================================================================
Постоянные маршруты:
  Отсутствует

вывод команды route с 10.0.105.204 он же 192.168.0.9:\
Destination    Gateway    Genmask         Flags  Metric  Ref  Use  Iface
87.249.236.0      *       255.255.255.252   U      0      0    0    etho
192.168.0.0       *       255.255.255.0     U      0      0    0    eth1
10.0.105.0        *       255.255.255.0     U      0      0    0    etho
169.254.0.0       *       255.255.0.0       U      0      0    0    eth1
default     87.249.236.1  0.0.0.0           UG     0      0    0    eth0

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Два ip на одной сетевухе. Как настроить iptables"  
Сообщение от reader (ok) on 08-Фев-08, 17:45 
192.168.0.0      255.255.0.0      192.168.0.9    10.0.105.205       1
на 10.0.105.205 маршрут помоему лишний

SNAT на интерфейсе с IP 192.168.0.9 по идее не нужен.
если c 192.168.0.9 пингуется и iptables на 192.168.0.9 не блокирует транзит с 10.0.105.205 в 192.168.0.0, то должно работать.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Два ip на одной сетевухе. Как настроить iptables"  
Сообщение от toshkin (ok) on 11-Фев-08, 08:53 
>192.168.0.0      255.255.0.0 192.168.0.9    10.0.105.205 1
>на 10.0.105.205 маршрут помоему лишний

убрал этот маршрут.
Теперь:
вывод команды route print c 10.0.105.205:
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0     10.0.105.204    10.0.105.205       1
          0.0.0.0          0.0.0.0   87.249.249.249    10.0.105.205       1
       10.0.105.0    255.255.255.0     10.0.105.205    10.0.105.205       1
     10.0.105.205  255.255.255.255        127.0.0.1       127.0.0.1       1
   10.255.255.255  255.255.255.255     10.0.105.205    10.0.105.205       1
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      192.168.0.0      255.255.0.0     10.0.105.204    10.0.105.205       1
        224.0.0.0        224.0.0.0     10.0.105.205    10.0.105.205       1
  255.255.255.255  255.255.255.255     10.0.105.205    10.0.105.205       1
Основной шлюз:      87.249.249.249

пингуется 192.168.0.9, но остальные адреса сети 192.168.0.0 не пингуются

>SNAT на интерфейсе с IP 192.168.0.9 по идее не нужен.
>если c 192.168.0.9 пингуется и iptables на 192.168.0.9 не блокирует транзит с
>10.0.105.205 в 192.168.0.0, то должно работать.

похоже, что iptables на 192.168.0.9 блокирует транзит с 10.0.105.205 в 192.168.0.0

А что если сделать так:
iptables -A INPUT -s 10.0.105.205 -j ACCEPT
???

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Два ip на одной сетевухе. Как настроить iptables"  
Сообщение от reader (ok) on 11-Фев-08, 10:11 
>[оверквотинг удален]
>Основной шлюз:      87.249.249.249
>
>пингуется 192.168.0.9, но остальные адреса сети 192.168.0.0 не пингуются
>
>>SNAT на интерфейсе с IP 192.168.0.9 по идее не нужен.
>>если c 192.168.0.9 пингуется и iptables на 192.168.0.9 не блокирует транзит с
>>10.0.105.205 в 192.168.0.0, то должно работать.
>
>похоже, что iptables на 192.168.0.9 блокирует транзит с 10.0.105.205 в 192.168.0.0
>

1
>А что если сделать так:
>iptables -A INPUT -s 10.0.105.205 -j ACCEPT
>???

INPUT - для входящих пакетов, а вам нужны транзитные - FORWARD
примерно так
iptables -A FORWARD -s 10.0.105.205 -d 192.168.0.0/255.255.255.0 -j ACCEPT


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Два ip на одной сетевухе. Как настроить iptables"  
Сообщение от toshkin (ok) on 11-Фев-08, 13:27 
>если c 192.168.0.9 пингуется и iptables на 192.168.0.9 не блокирует транзит с >10.0.105.205 в 192.168.0.0, то должно работать.

оказывается, с машины 192.168.0.9 не пингуется адрес 10.0.105.205, только с других машин из сети 192.168.0.0 пингуется

>INPUT - для входящих пакетов, а вам нужны транзитные - FORWARD
>примерно так
>iptables -A FORWARD -s 10.0.105.205 -d 192.168.0.0/255.255.255.0 -j ACCEPT

не помогло, или я что-то не так делаю
Если нужно, то могу выложить правила iptables, по которым настраиваю

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Два ip на одной сетевухе. Как настроить iptables"  
Сообщение от reader (ok) on 11-Фев-08, 14:18 
>[оверквотинг удален]
>
> оказывается, с машины 192.168.0.9 не пингуется адрес 10.0.105.205, только с других
>машин из сети 192.168.0.0 пингуется
>
>>INPUT - для входящих пакетов, а вам нужны транзитные - FORWARD
>>примерно так
>>iptables -A FORWARD -s 10.0.105.205 -d 192.168.0.0/255.255.255.0 -j ACCEPT
>
>не помогло, или я что-то не так делаю
>Если нужно, то могу выложить правила iptables, по которым настраиваю

покажите iptables-save

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Два ip на одной сетевухе. Как настроить iptables"  
Сообщение от toshkin (ok) on 11-Фев-08, 15:10 
Пора в отпуск..........:(
У меня все заработало, спасибо Вам огромное за помощь!!!
Правила iptables заново занес и заработало.

Спасибо reader, я перед Вами в огромном долгу. Не каждый согласиться на помощь. Побольше бы таких людей, как Вы!!!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Два ip на одной сетевухе. Как настроить iptables"  
Сообщение от reader (ok) on 11-Фев-08, 15:54 
>Пора в отпуск..........:(
>У меня все заработало, спасибо Вам огромное за помощь!!!
>Правила iptables заново занес и заработало.
>
>Спасибо reader, я перед Вами в огромном долгу. Не каждый согласиться на
>помощь. Побольше бы таких людей, как Вы!!!

ПОЖАЛУЙСТА :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру