iptables и 3 интерфейса

Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС.

Модератор: SLEDopit

Ответить
pograp
Сообщения: 287
Статус: Родгар БОГ ГНОМОВ
ОС: FreeBSD7&CentOS5.2&Fedora10
Контактная информация:

iptables и 3 интерфейса

Сообщение pograp »

Имею интернет на интерфейсе eth0 (192.168.1.3/24) eth1 (10.0.0.2/24) eth2 (168.192.0.2/24)
eth0 - интернет всё остальное локалка
Такой вопрос как пустить инет через 2-а эти интерфейса
инет уже идёт по eth1

Код: Выделить всё


iptables -A FORWARD -i eth0 -o eth1  -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
iptables -A FORWARD -j LOG
iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.0/24 -j MASQUERADE

теперь ни как не могу понять как вторую зарубить и ещё чтобы эти локалки видели друг друга (не обязательно но хотелось бы ещё выянить как это будет действовать с 2-мя интерфейсами на которых висят сети с одинаковыми диапозонами изврат конечно, но всётаки)
(net.ipv4.forwarding=1 всё по стандарту >:)))
ignoramus et semper ignorabimus
Спасибо сказали:
Аватара пользователя
sash-kan
Администратор
Сообщения: 13939
Статус: oel ngati kameie
ОС: GNU
Контактная информация:

Re: iptables и 3 интерфейса

Сообщение sash-kan »

pograp писал(а):
09.01.2008 21:56
как пустить инет через 2-а эти интерфейса
pograp писал(а):
09.01.2008 21:56
как вторую зарубить
Вы как-то определитесь, что ли.

pograp писал(а):
09.01.2008 21:56
чтобы эти локалки видели друг друга
SNAT

pograp писал(а):
09.01.2008 21:56
сети с одинаковыми диапозонами
http://netfilter.org/documentation/index.h...mentation-howto документ называется «Netfilter Double NAT HOWTO».
Писать безграмотно - значит посягать на время людей, к которым мы адресуемся, а потому совершенно недопустимо в правильно организованном обществе. © Щерба Л. В., 1957
при сбоях форума см.блог
Спасибо сказали:
pograp
Сообщения: 287
Статус: Родгар БОГ ГНОМОВ
ОС: FreeBSD7&CentOS5.2&Fedora10
Контактная информация:

Re: iptables и 3 интерфейса

Сообщение pograp »

Основная цель пустить инет и по eth2 (т.е. по eth1 идёт инет и по eth2 идет инет при том ip адреса этих интерфейсов указывают диапозон(eth1(10.0.0.2/24) с диапохоном 10.0.0.3-10.0.0.255(короче сеть 10.0.0.0/24))
имея данный код

Код: Выделить всё

iptables -A FORWARD -i eth0 -o eth1  -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
iptables -A FORWARD -j LOG
iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.0/24 -j MASQUERADE
ignoramus et semper ignorabimus
Спасибо сказали:
Аватара пользователя
sash-kan
Администратор
Сообщения: 13939
Статус: oel ngati kameie
ОС: GNU
Контактная информация:

Re: iptables и 3 интерфейса

Сообщение sash-kan »

Код: Выделить всё

iptables -A FORWARD -i eth0 -o eth1  -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth2  -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth2 -o eth0 -j ACCEPT
iptables -A FORWARD -j LOG
iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -s 168.192.0.0/24 -j MASQUERADE
Писать безграмотно - значит посягать на время людей, к которым мы адресуемся, а потому совершенно недопустимо в правильно организованном обществе. © Щерба Л. В., 1957
при сбоях форума см.блог
Спасибо сказали:
pograp
Сообщения: 287
Статус: Родгар БОГ ГНОМОВ
ОС: FreeBSD7&CentOS5.2&Fedora10
Контактная информация:

Re: iptables и 3 интерфейса

Сообщение pograp »

у меня не сработала. И пакеты шли после 40 запросов 1 пакет отдачи
ignoramus et semper ignorabimus
Спасибо сказали:
Аватара пользователя
sash-kan
Администратор
Сообщения: 13939
Статус: oel ngati kameie
ОС: GNU
Контактная информация:

Re: iptables и 3 интерфейса

Сообщение sash-kan »

это все правила?
попробуйте все-таки snat. адрес-то на eth0 у вас статический:
iptables -t filter -A FORWARD -p tcp -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A FORWARD -p tcp -i eth1 -o eth0 -j ACCEPT
iptables -t filter -A FORWARD -p tcp -i eth0 -o eth2 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A FORWARD -p tcp -i eth2 -o eth0 -j ACCEPT
iptables -t filter -A FORWARD -p tcp -j LOG
iptables -t filter -A FORWARD -j DROP
iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to-source 192.168.1.3
iptables -t nat -A POSTROUTING -j DROP
и смотрите tcpdump-ом или tshark-ом что там с пакетами происходит.

p.s. на всякий случай покажите и вывод ip r.
Писать безграмотно - значит посягать на время людей, к которым мы адресуемся, а потому совершенно недопустимо в правильно организованном обществе. © Щерба Л. В., 1957
при сбоях форума см.блог
Спасибо сказали:
zkrvova
Сообщения: 280

Re: iptables и 3 интерфейса

Сообщение zkrvova »

Незнаю что за проблемы.
У меня 5 интерфейсов, из них 4 виртуальных.

Всё что я делаю:
/sbin/iptables -P FORWARD DROP
/sbin/iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

iptables -A FORWARD -d 10.1.1.4 -j ACCEPT
iptables -A FORWARD -s 10.1.1.4 -j ACCEPT
iptables -A FORWARD -d 10.1.1.3 -j ACCEPT
iptables -A FORWARD -s 10.1.1.3 -j ACCEPT
ну и так далее

и всё.

Ну а дальше настраивайте как надо.
Спасибо сказали:
pograp
Сообщения: 287
Статус: Родгар БОГ ГНОМОВ
ОС: FreeBSD7&CentOS5.2&Fedora10
Контактная информация:

Re: iptables и 3 интерфейса

Сообщение pograp »

проблема была не в моих политиках в iptables а в межсетевом экране от RED HAT не знаю каким боком я с ним всё это время жил но в конечном итоге я его отрубил к чертям и черех мой не л/бимый!!! /sbin/chkconfig iptables on (без этого он не работает с межсетевым экраном отрубается и iptables и net.ipv4.forwarding) после этого всё заработал применял я код

Код: Выделить всё

iptables -A FORWARD -i eth0 -o eth1  -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth2  -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth2 -o eth0 -j ACCEPT
iptables -A FORWARD -j LOG
iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -s 168.192.0.0/24 -j MASQUERADE

да и все остальные тоже, спасибо большое за помощь!!!! осталось разобраться с SNAT + статейку проработать (огромное спасибо sash-kan за статью)
мдя всё это я заметил когда поставил машину на слакваре и пропечатал свои и удивился что они заработали

И ещё вопрос почему все так плохо отзываются об iptables-save ?
ignoramus et semper ignorabimus
Спасибо сказали:
aliens
Сообщения: 495
Статус: нетрушный
ОС: Gentoo & CentOS 5.1
Контактная информация:

Re: iptables и 3 интерфейса

Сообщение aliens »

извините, а какой такой сетевой экран есть у RH ?
Спасибо сказали:
pograp
Сообщения: 287
Статус: Родгар БОГ ГНОМОВ
ОС: FreeBSD7&CentOS5.2&Fedora10
Контактная информация:

Re: iptables и 3 интерфейса

Сообщение pograp »

system-config-securetylevel (fedora) redhat-config-securetylevel (rhel) - те кто пользуктся таблами отрубите их!!! это зло
ignoramus et semper ignorabimus
Спасибо сказали:
pograp
Сообщения: 287
Статус: Родгар БОГ ГНОМОВ
ОС: FreeBSD7&CentOS5.2&Fedora10
Контактная информация:

Re: iptables и 3 интерфейса

Сообщение pograp »

У меня сть прделожение модераторам создать и прикрепить тему под названием iptables cook book и выкладывать готовые решения на все случаи жизни, пролистал ещё раз форум минимкм 10 тем идентичны, в темме выкладывается только решения и никаких вопрос т.к. офигеешь читать весь лог сообщений
ну и создать правило выложения готового решения
пример
Цель: дать доступ в интернет с eth0 на 2 сети подключенные к интерфейсам: eth1(сеть 10.0.0.0/24 (диапозон10.0.0.0-10.0.0.255)) и на eth2 (сеть 168.192.0.0/24 (диапозон 168.192.0.0-168.192.0.255))
необходимые условия: отключить межсетевые экраны типа system-config-securetylevel (fedora) redhat-config-securetylevel (rhel) и поставить на автовключение iptables командой в терминале /sbin/chkconfig iptables on, включить маршрутизацию пакетов (в /etc/sysctl.conf изменить net.ipv4.ip_forward = 0 на net.ipv4.ip_forward = 1)
Сам код

Код: Выделить всё

iptables -A FORWARD -i eth0 -o eth1  -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth2  -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth2 -o eth0 -j ACCEPT
iptables -A FORWARD -j LOG
iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.0/24 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -s 168.192.0.0/24 -j MASQUERADE

надеюсь эта идея даст модераторам отдых от набора старых рецептов , вникания в суть проблемы и посылки, тех, кто не хочет немного погуглить гугл или посмотреть похожие темы на форуме ещё ы хотелось несколько ссылок выложить на туторила будет достаточно
ignoramus et semper ignorabimus
Спасибо сказали:
Ответить