Маршрутизация в Linux

[frostbite]

Дано:

1) Локальная сеть 192.168.0.0

2) Компьютер на АСПЛинукс 10 с 2 сетевыми картами

3) Адреса от провайдера (io, gate, dns)

Надо сделать доступ из локальной сети в Internet

Вопрос как это сделать?

Использовал книжку "Linux сервер своими руками", несколько FAQ и HOWTO, но безуспешно, много внимания уделяется защите и всяким фильтрациям, а как сделать чтобы собственно хотябы пакеты шли упоминается вскользь (типа включите ip_forwarding)

Адреса роутера этого пингуются (локальный и инетовский) с других компьютеров а уже шлюз например не пингуется

Помогите, пожалуйста.

[Aceler]

Команда route. Почитать на opennet.ru

[Ineu]

frostbite писал(а) ср, 10 августа 2005 16:21

а как сделать чтобы собственно хотябы пакеты шли упоминается вскользь (типа включите ip_forwarding) Адреса роутера этого пингуются (локальный и инетовский) с других компьютеров а уже шлюз например не пингуется

А Вы включали ip_forwarding?

Прописать на серваке маршруты - это полдела, то, что пакеты уйдут наружу из 192.168.0.0 - это хорошо, но вот куда они будут возвращаться? Нужно еще настроить SNAT или MASQUERADE, что в принципе одно и то же

Так что в общем процесс должен выглядить так:

echo 1 > /proc/sys/net/ipv4/ip_forwarding

ip route add 192.168.0.0/24 via <ваш внутренний адрес>

ip route add default via <ваш внешний адрес>

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE

[SignFinder]

прежде всего обычно никакие дополнительные маршруты не нужны все должно работать и так.

во-вторых кроме

Цитата:

echo 1 > /proc/sys/net/ipv4/ip_forwarding iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE

этого нужно еще разрешить если цепочка FORWARD по умолчанию DROP собственно сам форвард в обе стороны для сети 192.168.0.0/24

iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT

iptables -A FORWARD -d 192.168.0.0/24 -j ACCEPT

[Ineu]

Dr.Spectre писал(а) ср, 10 августа 2005 19:09

прежде всего обычно никакие дополнительные маршруты не нужны все должно работать и так. во-вторых кроме Цитата: echo 1 > /proc/sys/net/ipv4/ip_forwarding iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE этого нужно еще разрешить если цепочка FORWARD по умолчанию DROP собственно сам форвард в обе стороны для сети 192.168.0.0/24 iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT iptables -A FORWARD -d 192.168.0.0/24 -j ACCEPT

Ну вообще-то предполагается, что настроек нет никаких, а по умолчанию во всех цепочках стоит ACCEPT

[frostbite]

Огромное спасибо за ответы и ценные указания. Завтра попробую что получится

[Byte]

неплохо было бы показать что выдает

route -n

и

traceroute <gate>

[frostbite]

Еще раз огромное всем спасибо!!!

Все заработало, ура!

Маршруты и форвардинг я сделал оказывается уже, надо было только маскарадинг включить

Ну теперь буду читать про iptables и sqiud

[frostbite]

Еще вопрос:

поставил я squid http, ftp и icq работают нормально, адрес и порт прокси я прописал, а вот Mozilla Thunderbird не работает, хотя там пунктик насчет прокси есть. Или этот прокси в Тандерберде для других целей (а не для работы с pop и smtp) и все равно надо настраивать iptables?

[Byte]

ну там же написано:

HTTP

SSL

SOCKS

обновляется он через проксю...

[SignFinder]

squid это HTTP и FTP OVER HTTP прокси и все.

[frostbite]

Все, решил проблему

HTTP, FTP, ICQ через SQUID, а почта через iptables

Всем огромное спасибо

[frostbite]

И еще один вопрос (походу администрирование это тема бесконечная )

Вот сделал я dhcp, написал подсчет трафика (мне так просче чем ставить ставить перлы и постгресы всякие) узнал какой ipшник сколько скачал. И что дальше делать то? Есть какой нибудь простой способ вычислить какой именно комп юзает этот айпишник кроме как обойти все и посмотреть глазами в свойствах сети? И как задать правила ограничения трафика для злостных качальщиков если айпи динамический? По MAC-адресу получается только?

[Hans R. Steiner]

Имхо, только по маку, если не желаешь юзать vpn!

[Byte]

а имеет ли смысл вообще юзать dhcp? когда IP роздан статически значительно легче следить/урезать/банить/считать трафик

[Hans R. Steiner]

Не легче! На самом деле, пользователю, всегда можно поставить

один определенный ип и через dhcp, но в случае переделывания

структуры сети, к примеру, в случае разбиения одной большой сетки

на две или более маленьких, не нужно будет бегать по компам и

менять народу ипы ручками или обзванивать каждого юзверя и

обьяснять ему, как сделать Вашу работу.

Все можно реализовать чеерез конфиг DHCP и когда надо, только его

и править...

[Byte]

ОФФТОП:

конечно можно определенный АЙПИ - например через каталисты с подобной функцией . но это тоже не всегда правильно: на самом деле иногд требуется чтобы адрес был закреплен за пользователем независимо от машины, а иногда за машиной (у нас на работе вопрос что за чем привязывать так и не решен так как есть необходимость и в первом и во втором). А если еще на йапи завязаны настройки, скажем:

а) прокси

б) программного клиента на машине пользователя

в) настройки ipsec на серверах с которыми работает пользователь

г) аксес-листами на маршрутизаторах

д) почтовом сервере

е) привязка к IP или маку, скажем, на нетваре

и не забываем про DNS, кстати. А еще если пользователи "бегают"?

Но это для большой организации - а для небольшой (например компьютерного клуба) - 10 минут и всех оббежал

Так что вопрос в пользу одного или другого решения сугубо индивидуален

[frostbite]

Ну насчет не юзать Dhcp это не хорошо, на меня вот десяток компов свалился на 2 и 4 этаже я и то запарился бегать менять всякие шлюзы-днсы пока dhcp не настроил... Все ж таки я за это денег не получаю

Ладно, я понял, значит в общем случае задача не решается

[Byte]

дык, никто не говорит, что юзать DHCP - это нехорошо. иногда даже очень удобно, но приходится жертвовать "другой удобностью". и так во всем...

[Hans R. Steiner]

Но какими же удобствами приходится жертвовать, если ставить dhcp?

Ведь при живом dhcp, можно делать все точно так же, как и без

него... не обязательно привязывать ВСЕ машины к dhcp... можно

поставить их и на статике...

[Byte]

Hans R. Steiner писал(а) пн, 15 августа 2005 12:29

Но какими же удобствами приходится жертвовать, если ставить dhcp?

немного не так: ставить и юзать - разные вещи. пусть себе стоит (если, скажем, служба информационной безопасности не надерет за это мягкое место - поверте - в конторе где я работаю это очень актуально)

я к тому, что от КОНРЕТНОЙ рабочей станции зависит какой способ раздачи IP предпочтительнее использовать

[cerber_spb]

Пропиши в dhcpd.conf соответствия

host comp28 {

hardware ethernet xx:xx:xx:xx:xx:xx;

fixed-address 192.168.xxx.xxx

}

(По памяти пишу может где че не так)

Теперь определенному маку будет выдаваться определенный ip.

Очень удобно если что надо в сети поменять связаное с ip адресами просто в конфиге меняешь и ребутаешь тачки. Или ждешь коды само обновицца.

[frostbite]

А вот еще вопрос:

СОбираются присоединить к нам еще одну комнатку с компами из другой

организации. Соответсвенно хочу им всякие ограничения на ширину канала врубить (ибо нефига). И походу это должна быть другая подсеть. Подключены они будут наверно через свой свитч к еще одной карточке в роутере (итого их будет 3). Как дхцп-сервер будет определять из какой подсети комп? Это надо задать в поле option routers?

Типа так

dhcpd.conf

subnet 192.168.0.0 netmask 255.255.255.0 {

option routers 192.168.0.11;//Это наша сеть

/*Все остальное*/

}

subnet 192.168.1.0 netmask 255.255.255.0 {

option routers 192.168.1.11;//Это чужая сеть, адрес который я назначу на сетевую карту в роутере

/*Все остальное*/

}

Правильно?

[cerber_spb]

DHCP ниче определять не будет он просто даст адрес на запрос.

Тебе нужно будет по макам все расписывать.

Или ставить отдельный сервак dhcp на эту сеть.

[frostbite]

cerber_spb писал(а) ср, 17 августа 2005 13:24

Или ставить отдельный сервак dhcp на эту сеть.

А это как? Разве 2 демона на одном порту бывает?