Squid+route+Sams+iptables

Crashzero · Сообщение **Crashzero** » 22.10.2008 12:38

Доброго времени суток всем !
Есть проблема прошу помочь решить.
Стоит сервер Ubuntu server 8
eth1 - 192.168.5.1 Внутренняя сеть ( Где работает еще много серверов в том числе Proxy сервера SQUID)
eth2 - 10.110.2.2 Внешний канал сети ( которому надо раздать инет ) уходит грубо говоря в город.
На сервере установлен Squid + Sams который успешно работает.
при
Код:

Код: Выделить всё

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.110.2.0      *               255.255.255.248 U     0      0        0 eth0
localnet        *               255.255.255.0   U     0      0        0 eth1
default         192.168.5.69 0.0.0.0         UG    0      0        0 eth1

Так интернет можно получать с сервера прописав его данные только для сети 192.168.5.*
Мне надо что бы с внутренней сети можно было подключаться к разным сервисам на удаленных терминалах сети 10.110.*
Им же надо раздавать интернет.

Но как только я устанавливаю route add default gw 10.110.2.1 ( Необходимо что бы с внутренней сети можно было залазить на машинки с 10.110.*.* адресом )
Доступ есть к сервисам на удаленных машинках то есть трафик бегает ... Но интернета то нету на сервере и Squid его не раздает, ибо откуда его взять сквиду ?.
Как настроить что бы инет давался через проксю на адреса 10.110.* если нет возможности прописать gw 192.168.5.* ?

За ранее спасибо ! если что то не ясно спросите.......
PS:Дополнил.

DaemonTux · Сообщение **DaemonTux** » 23.10.2008 04:30

пропешите маршрут до нужных вам подсетей. А default пусть в интернет смотрит

Crashzero · Сообщение **Crashzero** » 23.10.2008 14:39

DaemonTux писал(а): ↑
23.10.2008 04:30
пропешите маршрут до нужных вам подсетей. А default пусть в интернет смотрит

route add -net 192.168.5.3 netmask 255.255.255.255 gw 10.110.2.1 eth0
Так не помогает.
Как сделать это правильно?
Спасибо !.
PS: Как правильнее будет через route или все же iptables это может сделать ?

Kataklysm · Сообщение **Kataklysm** » 23.10.2008 16:44

Crashzero писал(а): ↑
23.10.2008 14:39
DaemonTux писал(а): ↑
23.10.2008 04:30
пропешите маршрут до нужных вам подсетей. А default пусть в интернет смотрит

route add -net 192.168.5.3 netmask 255.255.255.255 gw 10.110.2.1 eth0
Так не помогает.
Как сделать это правильно?
Спасибо !.
PS: Как правильнее будет через route или все же iptables это может сделать ?

Смотри в сторону iptables mangle, а именно на метку пакетов

DaemonTux · Сообщение **DaemonTux** » 24.10.2008 03:36

Crashzero писал(а): ↑
23.10.2008 14:39
DaemonTux писал(а): ↑
23.10.2008 04:30
пропешите маршрут до нужных вам подсетей. А default пусть в интернет смотрит

route add -net 192.168.5.3 netmask 255.255.255.255 gw 10.110.2.1 eth0
Так не помогает.
Как сделать это правильно?
Спасибо !.
PS: Как правильнее будет через route или все же iptables это может сделать ?

Вы маску не ту поставили. скорее всего надо 255.255.255.0

idl · Сообщение **idl** » 15.07.2009 10:06

такая же проблема как и у автора
пишу

Код: Выделить всё

route add -net 192.168.1.3 netmask 255.255.255.0 gw 10.2.12.48

нужно запустить 192.168.1.3 в сеть 10.2.12.48

подскажите что и где не так делаю

на машине стоит 2 сетевухи одна имеет ip 192.168.1.2 вторая 10.2.12.48

15.07.2009 11:16

idl, фигню делаете.
у вас комп с двумя сетевухами и вы хотите, чтобы из одной сети ходили в другую через него?
тогда давайте сюда вывод ipconfig, route и cat /proc/sys/net/ipv4/ip_forward

butch · Сообщение **butch** » 15.07.2009 12:09

idl писал(а): ↑
15.07.2009 10:06
-net 192.168.1.3

ну и кто так подсеть указывает?

idl · Сообщение **idl** » 15.07.2009 13:07

Ленивая Бестолочь писал(а): ↑
15.07.2009 11:16
idl, фигню делаете.
у вас комп с двумя сетевухами и вы хотите, чтобы из одной сети ходили в другую через него?
тогда давайте сюда вывод ipconfig, route и cat /proc/sys/net/ipv4/ip_forward

Код: Выделить всё

eth0      Link encap:Ethernet  HWaddr 00:16:76:3c:5c:18
          inet addr:10.2.12.84  Bcast:10.2.12.255  Mask:255.255.255.0
          inet6 addr: fe80::216:76ff:fe3c:5c18/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:22734 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1329 errors:0 dropped:0 overruns:0 carrier:0
          collisions:217 txqueuelen:1000
          RX bytes:3155365 (3.0 MiB)  TX bytes:266122 (259.8 KiB)
          Interrupt:21 Base address:0xdc00

eth1      Link encap:Ethernet  HWaddr 00:d0:b7:17:39:c9
          inet addr:192.168.1.2  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::2d0:b7ff:fe17:39c9/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:21516 errors:0 dropped:0 overruns:0 frame:0
          TX packets:115 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:2290551 (2.1 MiB)  TX bytes:15673 (15.3 KiB)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:29 errors:0 dropped:0 overruns:0 frame:0
          TX packets:29 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:1684 (1.6 KiB)  TX bytes:1684 (1.6 KiB)

Код: Выделить всё

route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.1.0     *               255.255.255.0   U     0      0        0 eth1
10.2.12.0       *               255.255.255.0   U     0      0        0 eth0
default         10.2.12.1       0.0.0.0         UG    0      0        0 eth0
default         192.168.1.1     0.0.0.0         UG    0      0        0 eth1

ну вот как то так файл который вы указали найти не удалось

ну откровенно говоря Я
знаю я не гений поэтому к Вам за помощью и обращаюсь!
Вы бы научили меня что бы я больше так не делал

idl · Сообщение **idl** » 15.07.2009 13:16

butch писал(а): ↑
15.07.2009 12:09
idl писал(а): ↑
15.07.2009 10:06
-net 192.168.1.3

ну и кто так подсеть указывает?

ну откровенно говоря Я
по той причине что не знаю как это сделать правильно
вот Вы бы научили бы

15.07.2009 14:44

правильно выглядит примерно вот так:

Код: Выделить всё

route add -net 192.168.1.0/24 gw 10.2.12.48

или

Код: Выделить всё

route add -net 192.168.1.0 netmask 255.255.255.0 gw 10.2.12.48

но, если я правильно догадываюсь что вы хотите сделать - вам эта команда НЕ нужна!
ответьте плз:

Ленивая Бестолоч... писал(а): ↑
15.07.2009 11:16
у вас комп с двумя сетевухами и вы хотите, чтобы из одной сети ходили в другую через него?

а файлик должен быть - поглядите еще.
если нет - давайте сюда вывод uname -a
и скажите, что у вас за дистрибутив.

idl · Сообщение **idl** » 15.07.2009 14:49

Ленивая Бестолоч... писал(а): ↑
15.07.2009 11:16
у вас комп с двумя сетевухами и вы хотите, чтобы из одной сети ходили в другую через него?

да так и хочу хочу создать свою подсеть с выходом в общую
дистрибутив debian 5.0
в дальнейшем планирую раздавать интернет пользователям подсети в определенных объемах (но это в будущем)

15.07.2009 14:58

замечательно.
тогда смотрите - маршрутизация на пальцах так сказать :-)

у вашего компьютера есть таблица маршрутизации:

Код: Выделить всё

192.168.1.0     *               255.255.255.0   U     0      0        0 eth1
10.2.12.0       *               255.255.255.0   U     0      0        0 eth0
default         10.2.12.1       0.0.0.0         UG    0      0        0 eth0
default         192.168.1.1     0.0.0.0         UG    0      0        0 eth1

в ней написано, что сеть 192.168.1.0/24 - это в интерфейс eth1, а сеть 10.2.12.0/24 - это в интерфейс eth0
а еще в ней есть default запись, о том, что все, что не подошло под верхние правила - отправлять в 10.2.12.1, который, соглансно второму правилу гдето в eth0.
второй default, кстати уберите - он не нужен.

теперь едем дальше: ваш компьютер знает куда ему посылать пакеты. с ним закончили.
идем на клиента, который стоит в сети 192.168.1.0/24 и имеет адрес, допустим, 192.168.1.4
на нем табличка должна выглядеть так:

Код: Выделить всё

192.168.1.0     *               255.255.255.0   U     0      0        0 eth0
default         192.168.1.1     0.0.0.0         UG    0      0        0 eth0

тоесть описание одной сети и, если что-то не подходит под это описание - отправлять не сервер.

вертаемся на сервер:
сервер должен не просто принимать-отправлять пакеты, а еще и роутить их между сетями. тоесть, если к нему пришел пакет, предназначенный не для него - отдавать его туда, куда он предназначен. при этом сервер пользуется своей табличкой маршрутизации, которую мы видели раньше.

для того, чтобы включить этот режим необходимо открыть файл /etc/sysctl.conf, найти там что-то типа:

Код: Выделить всё

# Uncomment the next line to enable packet forwarding for IPv4
#net.ipv4.ip_forward=1

и снять коментарий перед net.ipv4.ip_forward
ну, или просто добавить net.ipv4.ip_forward=1

и дать команду sysctl -p
чтобы сервер это дело перечитал.

и еще вот что. если сеть 10.2.12.0/24 - это не ваша сеть и вы не можете там прописать default шлюз на машинах вам придется использовать NAT.
это не отменяет всего сказаного выше, но без ната работать не будет.

idl · Сообщение **idl** » 15.07.2009 14:59

в данном файле cat /proc/sys/net/ipv4/ip_forward стоит 0 (ноль)

15.07.2009 15:02

после этого:

Ленивая Бестолоч... писал(а): ↑
15.07.2009 14:58
для того, чтобы включить этот режим необходимо открыть файл /etc/sysctl.conf, найти там что-то типа:
Код
# Uncomment the next line to enable packet forwarding for IPv4
#net.ipv4.ip_forward=1

и снять коментарий перед net.ipv4.ip_forward
ну, или просто добавить net.ipv4.ip_forward=1

и дать команду sysctl -p
чтобы сервер это дело перечитал.

будет 1.

idl · Сообщение **idl** » 15.07.2009 15:07

забыл предупредить у меня 192,168,1,1 клиенты windows

15.07.2009 15:13

idl писал(а): ↑
15.07.2009 15:07
забыл предупредить у меня 192,168,1,1 клиенты windows

от этого основные принципы маршрутизации не меняются ;-)

idl · Сообщение **idl** » 07.09.2009 12:30

по мере возможности вернулся к изучению linux-а

сейчас у меня windows192.168.1.3 ping-ует 192.168.1.2 и ping-ует 10.2.12.48 это соответственно eth1 и eth0

вопрос как сделать так что бы 192,168,1,3 пинговал остальные машины из сети 10,2,12,48??????

07.09.2009 19:43

echo 1 > /proc/sys/net/ipv4/ip_forward

idl · Сообщение **idl** » 08.09.2009 12:16

Ленивая Бестолочь писал(а): ↑
07.09.2009 19:43
echo 1 > /proc/sys/net/ipv4/ip_forward

написал то что ты советовал эфекта не дало
но в данном файле стоит цифра 1

idl · Сообщение **idl** » 09.09.2009 09:37

прописал

iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -F
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE

что в итоге вышло я с клиента могу пинковать обе сети а сеть 10.2.12.хх не пингует 192.168.1.2 понимаю что нужно прописать что бы моя сетевая eth 0 пропускала через себя на eth 1

подскажите как осуществить а то у меня клиент в интернет выйти не может

unixforum.org

Squid+route+Sams+iptables

Squid+route+Sams+iptables

Re: Squid+route+Sams+iptables

Re: Squid+route+Sams+iptables

Re: Squid+route+Sams+iptables

Re: Squid+route+Sams+iptables

Re: Squid+route+Sams+iptables

Re: Squid+route+Sams+iptables

Re: Squid+route+Sams+iptables

Re: Squid+route+Sams+iptables

Re: Squid+route+Sams+iptables

Re: Squid+route+Sams+iptables

Re: Squid+route+Sams+iptables

Re: Squid+route+Sams+iptables

Re: Squid+route+Sams+iptables

Re: Squid+route+Sams+iptables

Re: Squid+route+Sams+iptables

Re: Squid+route+Sams+iptables

Re: Squid+route+Sams+iptables

Re: Squid+route+Sams+iptables

Re: Squid+route+Sams+iptables

Re: Squid+route+Sams+iptables