Проблемы со шлюзом

0

1

Помогите решить проблему.Имеется:http://img.uz/s?c5df29i

Есть локальная сеть:192.168.1.0/24 На компьютерах прописан шлюз: 192.168.1.1 (PC). На них установлено стороннее программное обеспечение(ПО), которое обращается к шлюзу 10.1.101.254, который прописан на switch-е. Как сделать так, чтобы шлюз 192.168.1.1 узнал о существовании второго шлюза, и как их связать? Ping 10.1.101.254 c PC проходит.

P.S. Вариант с двумя сетевыми картами для PC не подойдет.

Ссылка

←	Samba и AD(дисконнект сетевого диска)

Анонимный доступ в OpenLDAP

→

← 1 2 →

Ответ на: комментарий от albertus 19.08.16 17:40:15 MSK

Для понимания разжую немного. Смысл в том чтобы пакеты уходили в 51 сеть через 101.254 шлюз. Пакеты идут от сервера и от клиента.

Чтобы сервер пинговал ПО-сервер нужен маршрут via 101.254(циска). Нужен так как у сервера много сетевух.

Клиенты всё что не в их подсети мечут в Ваш сервер. Тут уже роутится iptables-ами Когда пакет прилетает, он имеет «от» и «для». От нужен для ответов, для же как раз проверяется в iptables по правилам и мечется в нужный интерфейс.

Проблема сейчас у Вас для сервера - в том, что он не в курсекуда 51 пакеты метать, поэтому мечет их в default, ну а клиенты мечут в сервер, а он в default...

chenger ★★
(19.08.16 17:56:09 MSK)

Ответ на: комментарий от albertus 19.08.16 17:55:31 MSK

Chain eth2i (1 references)
target     prot opt source               destination         
ACCEPT     all  --  dbs2.deponet.uz      is                  
ACCEPT     all  --  anywhere             anywhere             state ESTABLISHED
ACCEPT     icmp --  anywhere             anywhere             state RELATED
ACCEPT     icmp --  anywhere             mail.deponet.uz      icmp destination-unreachable
ACCEPT     icmp --  anywhere             mail.deponet.uz      icmp source-quench
ACCEPT     icmp --  anywhere             mail.deponet.uz      icmp echo-request
ACCEPT     tcp  --  anywhere             mail.deponet.uz      multiport dports commplex-link,rockwell-csp2,xmpp-client,hpvirtgrp,cbt,xmpp-server,5229,oracleas-https,arcp
ACCEPT     tcp  --  anywhere             mail.deponet.uz      tcp dpt:ident
ACCEPT     udp  --  anywhere             mail.deponet.uz      udp dpt:auth
ACCEPT     tcp  --  anywhere             mail.deponet.uz      tcp dpt:smtp
ACCEPT     tcp  --  anywhere             mail.deponet.uz      tcp dpt:domain
ACCEPT     tcp  --  anywhere             mail.deponet.uz      tcp dpt:http
ACCEPT     udp  --  anywhere             mail.deponet.uz      udp dpt:http
ACCEPT     tcp  --  anywhere             mail.deponet.uz      tcp dpt:https
ACCEPT     udp  --  anywhere             mail.deponet.uz      udp dpt:https
DROP       tcp  --  anywhere             mail.deponet.uz      state NEW tcp dpt:ntp
DROP       udp  --  anywhere             mail.deponet.uz      state NEW udp dpt:ntp
DROP       udp  --  anywhere             mail.deponet.uz      state NEW udp dpt:mysql
DROP       udp  --  anywhere             mail.deponet.uz      state NEW udp dpt:sqlexec
DROP       udp  --  anywhere             mail.deponet.uz      state NEW udp dpt:sqlexec-ssl
ACCEPT     tcp  --  anywhere             anywhere             tcpflags:! SYN,RST,ACK/SYN
ACCEPT     udp  --  anywhere             mail.deponet.uz      udp dpts:1024:65535
DROP       all  --  anywhere             anywhere            

Chain eth2o (1 references)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere             state NEW,RELATED,ESTABLISHED
ACCEPT     all  --  mail.deponet.uz      anywhere            
ACCEPT     all  --  anywhere             192.168.4.0/24      
DROP       tcp  --  anywhere             anywhere             tcp dpt:ipp
DROP       udp  --  anywhere             anywhere             udp dpt:ipp
DROP       tcp  --  anywhere             anywhere             tcp dpts:netbios-ns:netbios-ssn
DROP       udp  --  anywhere             anywhere             udp dpts:netbios-ns:netbios-ssn
DROP       all  --  192.168.0.0/16       anywhere            
DROP       all  --  anywhere             anywhere            

Chain eth3i (1 references)
target     prot opt source               destination         

Chain eth3o (1 references)
target     prot opt source               destination         

Chain ethbl (1 references)
target     prot opt source               destination         
DROP       all  --  192.168.20.0/24      anywhere            
DROP       all  --  192.168.60.0/24      anywhere            
RETURN     all  --  anywhere             anywhere            

Chain in-ethxx (1 references)
target     prot opt source               destination         
ScanD      tcp  --  anywhere             anywhere             tcpflags: FIN,SYN,RST,PSH,ACK,URG/NONE
ScanD      tcp  --  anywhere             anywhere             tcpflags: FIN,SYN/FIN,SYN
ScanD      tcp  --  anywhere             anywhere             tcpflags: SYN,RST/SYN,RST
ScanD      tcp  --  anywhere             anywhere             tcpflags: FIN,RST/FIN,RST
ScanD      tcp  --  anywhere             anywhere             tcpflags: FIN,ACK/FIN
ScanD      tcp  --  anywhere             anywhere             tcpflags: PSH,ACK/PSH
ScanD      tcp  --  anywhere             anywhere             tcpflags: ACK,URG/URG
DDoS       tcp  --  anywhere             anywhere             tcpflags: SYN,RST,ACK/SYN

Chain input_ext (4 references)
target     prot opt source               destination         
ethbl      all  --  anywhere             anywhere            
in-ethxx   all  --  anywhere             anywhere            
eth1i      all  --  anywhere             anywhere            
eth2i      all  --  anywhere             anywhere            
eth3i      all  --  anywhere             anywhere            
pppi       all  --  anywhere             anywhere            
RETURN     all  --  anywhere             anywhere            
DROP       all  --  anywhere             anywhere             PKTTYPE = multicast
DROP       all  --  anywhere             anywhere             PKTTYPE = broadcast

Chain input_int (1 references)
target     prot opt source               destination         
eth0i      all  --  anywhere             anywhere            

Chain pppi (1 references)
target     prot opt source               destination         
DROP       all  --  anywhere             anywhere            

Chain reject_func (0 references)
target     prot opt source               destination         
REJECT     tcp  --  anywhere             anywhere             reject-with tcp-reset
REJECT     udp  --  anywhere             anywhere             reject-with icmp-port-unreachable
REJECT     all  --  anywhere             anywhere             reject-with icmp-proto-unreachable

albertus
(19.08.16 17:57:09 MSK) автор топика

Ссылка

Ответ на: комментарий от albertus 19.08.16 17:55:31 MSK

Боль и страдания!

sudo iptables -nL

chenger ★★
(19.08.16 17:58:08 MSK)

Ссылка

Ответ на: комментарий от chenger 19.08.16 17:56:09 MSK

как ему подсказать куда идти?

albertus
(19.08.16 17:59:14 MSK) автор топика

Ответ на: комментарий от albertus 19.08.16 17:59:14 MSK

iptables -nL слишком большой,на две части приходится делить

albertus
(19.08.16 18:02:12 MSK) автор топика

Ответ на: комментарий от albertus 19.08.16 18:02:12 MSK

Давайте проще, у Вас iptables кто-то хорошо настраивал.. У вас с клиентов пингуется циска 101.245? С сервера 51. не пингуется, я так понимаю? Как настраивали роутинг в 101.245? именно там надо поменять чтобы уходило и 51.* туда-же.

дайте

iptables-save

chenger ★★
(19.08.16 18:12:09 MSK)
Последнее исправление: chenger 19.08.16 18:16:16 MSK (всего исправлений: 3)

Ответ на: комментарий от albertus 19.08.16 18:02:12 MSK

iptables -A FORWARD -i eth0 -o eth3 -s 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -i eth3 -o eth0 -d 192.168.0.0/24 -j ACCEPT 
iptables -A POSTROUTING -s 192.168.0.0/24 -d 10.1.51.0/24 -o eth3 -j SNAT --to-source 10.1.101.11
route add -net 10.1.51.0 netmask 255.255.255.0 via 10.1.101.254 dev eth3

попробуйте, сложно сейчас без линуксового роутера, давно правила не писал.

поправил.

добавил роут.

chenger ★★
(19.08.16 18:30:09 MSK)
Последнее исправление: chenger 19.08.16 18:37:56 MSK (всего исправлений: 4)

Ответ на: комментарий от chenger 19.08.16 18:12:09 MSK

# Generated by iptables-save v1.4.12.1 on Sat Aug 20 12:24:25 2016
*filter
:INPUT DROP [1296:126594]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [1261455:893593040]
:DDoS - [0:0]
:ScanD - [0:0]
:eth0i - [0:0]
:eth1i - [0:0]
:eth1o - [0:0]
:eth2i - [0:0]
:eth2o - [0:0]
:eth3i - [0:0]
:eth3o - [0:0]
:ethbl - [0:0]
:in-ethxx - [0:0]
:input_ext - [0:0]
:input_int - [0:0]
:pppi - [0:0]
:reject_func - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth0 -j input_int
-A INPUT -i eth1 -j input_ext
-A INPUT -i eth2 -j input_ext
-A INPUT -i eth3 -j input_ext
-A INPUT -i ppp+ -j input_ext
-A INPUT -i tun+ -j ACCEPT
-A FORWARD -s 192.168.1.13/32 -d 192.168.4.1/32 -j ACCEPT
-A FORWARD -s 192.168.4.1/32 -d 192.168.1.13/32 -j ACCEPT
-A FORWARD -s 192.168.1.16/32 -j ACCEPT
-A FORWARD -d 192.168.1.16/32 -j ACCEPT
-A FORWARD -s 192.168.1.1/32 -d 192.168.4.1/32 -j ACCEPT
-A FORWARD -s 192.168.4.1/32 -d 192.168.1.1/32 -j ACCEPT
-A FORWARD -s 192.168.1.2/32 -d 192.168.4.1/32 -j ACCEPT
-A FORWARD -s 192.168.4.1/32 -d 192.168.1.2/32 -j ACCEPT
-A FORWARD -s 192.168.1.3/32 -d 192.168.4.1/32 -j ACCEPT
-A FORWARD -s 192.168.4.1/32 -d 192.168.1.3/32 -j ACCEPT
-A FORWARD -s 192.168.1.2/32 -o eth2 -j ACCEPT
-A FORWARD -d 192.168.1.2/32 -i eth2 -j ACCEPT
-A FORWARD -s 192.168.1.60/32 -o eth3 -j ACCEPT
-A FORWARD -d 192.168.1.60/32 -i eth3 -j ACCEPT
-A FORWARD -s 192.168.1.0/24 ! -d 192.168.0.0/16 -j ACCEPT
-A FORWARD ! -s 192.168.0.0/16 -d 192.168.1.0/24 -j ACCEPT
-A FORWARD -s 192.168.1.12/32 ! -d 192.168.0.0/16 -j ACCEPT
-A FORWARD ! -s 192.168.0.0/16 -d 192.168.1.12/32 -j ACCEPT
-A FORWARD -s 192.168.1.18/32 ! -d 192.168.0.0/16 -j ACCEPT
-A FORWARD ! -s 192.168.0.0/16 -d 192.168.1.18/32 -j ACCEPT
-A FORWARD -s 192.168.13.2/32 ! -d 192.168.0.0/16 -j ACCEPT
-A FORWARD ! -s 192.168.0.0/16 -d 192.168.13.2/32 -j ACCEPT
-A OUTPUT -o eth2 -j eth2o
-A OUTPUT -o eth3 -j eth3o
-A DDoS -m limit --limit 12/sec --limit-burst 24 -j RETURN
-A DDoS -j LOG --log-prefix "[DDos Attack?] "
-A DDoS -j DROP
-A ScanD -p tcp -m limit --limit 1/sec -j LOG --log-prefix "[TCP Scan?] "
-A ScanD -p udp -m limit --limit 1/sec -j LOG --log-prefix "[UDP Scan?] "
-A ScanD -p icmp -m limit --limit 1/sec -j LOG --log-prefix "[ICMP Scan?] "
-A ScanD -f -m limit --limit 1/sec -j LOG --log-prefix "[FRAG Scan?] "
-A ScanD -j DROP
-A eth0i -s 192.168.1.55/32 -d 192.168.1.1/32 -p tcp -m tcp --dport 3128 -j DROP
-A eth0i -s 192.168.1.0/24 -d 192.168.1.1/32 -j ACCEPT
-A eth0i -s 192.168.13.2/32 -d 192.168.1.1/32 -j ACCEPT
-A eth0i -j DROP
-A eth1i -m state --state ESTABLISHED -j ACCEPT
-A eth1i -p icmp -m state --state RELATED -j ACCEPT
-A eth1i -s 192.168.200.0/24 -p icmp -j ACCEPT
-A eth1i -s 192.168.0.254/32 -p icmp -j ACCEPT
-A eth1i -s 192.168.200.10/32 -d 192.168.200.13/32 -p tcp -m multiport --dports 5222,5223,9090,7777,8010 -j ACCEPT
-A eth1i -s 192.168.200.10/32 -d 192.168.200.13/32 -p udp -m multiport --dports 8010:8013 -j ACCEPT
-A eth1i -d 192.168.200.13/32 -p tcp -m tcp --dport 113 -j ACCEPT
-A eth1i -d 192.168.200.13/32 -p udp -m udp --dport 113 -j ACCEPT
-A eth1i -d 192.168.200.13/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A eth1i -d 192.168.200.13/32 -p tcp -m tcp --dport 25 -j ACCEPT
-A eth1i -p tcp -m tcp ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A eth1i -d 192.168.200.13/32 -p udp -m udp --dport 1024:65535 -j ACCEPT
-A eth1i -j DROP
-A eth2i -s 192.168.4.1/32 -d 192.168.1.1/32 -j ACCEPT
-A eth2i -m state --state ESTABLISHED -j ACCEPT
-A eth2i -p icmp -m state --state RELATED -j ACCEPT
-A eth2i -d 84.54.70.75/32 -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A eth2i -d 84.54.70.75/32 -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A eth2i -d 84.54.70.75/32 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A eth2i -d 84.54.70.75/32 -p tcp -m multiport --dports 5001,2222,5222,5223,7777,5269,5229,7443,7070 -j ACCEPT
-A eth2i -d 84.54.70.75/32 -p tcp -m tcp --dport 113 -j ACCEPT
-A eth2i -d 84.54.70.75/32 -p udp -m udp --dport 113 -j ACCEPT
-A eth2i -d 84.54.70.75/32 -p tcp -m tcp --dport 25 -j ACCEPT
-A eth2i -d 84.54.70.75/32 -p tcp -m tcp --dport 53 -j ACCEPT
-A eth2i -d 84.54.70.75/32 -p tcp -m tcp --dport 80 -j ACCEPT
-A eth2i -d 84.54.70.75/32 -p udp -m udp --dport 80 -j ACCEPT
-A eth2i -d 84.54.70.75/32 -p tcp -m tcp --dport 443 -j ACCEPT
-A eth2i -d 84.54.70.75/32 -p udp -m udp --dport 443 -j ACCEPT
-A eth2i -d 84.54.70.75/32 -p tcp -m state --state NEW -m tcp --dport 123 -j DROP
-A eth2i -d 84.54.70.75/32 -p udp -m state --state NEW -m udp --dport 123 -j DROP
-A eth2i -d 84.54.70.75/32 -p udp -m state --state NEW -m udp --dport 3306 -j DROP
-A eth2i -d 84.54.70.75/32 -p udp -m state --state NEW -m udp --dport 9088 -j DROP
-A eth2i -d 84.54.70.75/32 -p udp -m state --state NEW -m udp --dport 9089 -j DROP
-A eth2i -p tcp -m tcp ! --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A eth2i -d 84.54.70.75/32 -p udp -m udp --dport 1024:65535 -j ACCEPT
-A eth2i -j DROP
-A eth2o -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
-A eth2o -s 84.54.70.75/32 -j ACCEPT
-A eth2o -d 192.168.4.0/24 -j ACCEPT
-A eth2o -p tcp -m tcp --dport 631 -j DROP
-A eth2o -p udp -m udp --dport 631 -j DROP
-A eth2o -p tcp -m tcp --dport 137:139 -j DROP
-A eth2o -p udp -m udp --dport 137:139 -j DROP
-A eth2o -s 192.168.0.0/16 -j DROP
-A eth2o -j DROP
-A ethbl -s 192.168.20.0/24 -j DROP
-A ethbl -s 192.168.60.0/24 -j DROP
-A ethbl -j RETURN
-A in-ethxx -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j ScanD
-A in-ethxx -p tcp -m tcp --tcp-flags FIN,SYN FIN,SYN -j ScanD
-A in-ethxx -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j ScanD
-A in-ethxx -p tcp -m tcp --tcp-flags FIN,RST FIN,RST -j ScanD
-A in-ethxx -p tcp -m tcp --tcp-flags FIN,ACK FIN -j ScanD
-A in-ethxx -p tcp -m tcp --tcp-flags PSH,ACK PSH -j ScanD
-A in-ethxx -p tcp -m tcp --tcp-flags ACK,URG URG -j ScanD
-A in-ethxx -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j DDoS
-A input_ext -j ethbl
-A input_ext -j in-ethxx
-A input_ext -i eth1 -j eth1i
-A input_ext -i eth2 -j eth2i
-A input_ext -i eth3 -j eth3i
-A input_ext -i ppp+ -j pppi
-A input_ext -j RETURN
-A input_ext -m pkttype --pkt-type multicast -j DROP
-A input_ext -m pkttype --pkt-type broadcast -j DROP
-A input_int -j eth0i
-A pppi -j DROP
-A reject_func -p tcp -j REJECT --reject-with tcp-reset
-A reject_func -p udp -j REJECT --reject-with icmp-port-unreachable
-A reject_func -j REJECT --reject-with icmp-proto-unreachable
COMMIT
# Completed on Sat Aug 20 12:24:25 2016
# Generated by iptables-save v1.4.12.1 on Sat Aug 20 12:24:25 2016
*nat
:PREROUTING ACCEPT [732885:52030623]
:INPUT ACCEPT [92877:5793618]
:OUTPUT ACCEPT [121034:8581842]
:POSTROUTING ACCEPT [143719:9726135]
-A POSTROUTING -s 192.168.1.13/32 -d 192.168.9.0/24 -j ACCEPT
-A POSTROUTING -s 192.168.1.13/32 -d 192.168.4.0/24 -j MASQUERADE
-A POSTROUTING -s 192.168.1.16/32 ! -d 192.168.1.0/24 -j MASQUERADE
-A POSTROUTING -s 192.168.1.12/32 ! -d 192.168.0.0/16 -j MASQUERADE
-A POSTROUTING -s 192.168.1.11/32 ! -d 192.168.0.0/16 -j MASQUERADE
-A POSTROUTING -s 192.168.1.12/32 ! -d 192.168.0.0/16 -j MASQUERADE
-A POSTROUTING -s 192.168.1.2/32 -o eth2 -j MASQUERADE
-A POSTROUTING -s 192.168.13.2/32 ! -d 192.168.0.0/16 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/24 -d 10.0.0.0/8 -o eth3 -j MASQUERADE
COMMIT
# Completed on Sat Aug 20 12:24:25 2016
# Generated by iptables-save v1.4.12.1 on Sat Aug 20 12:24:25 2016
*mangle
:PREROUTING ACCEPT [5382748:3214687903]
:INPUT ACCEPT [6080206:2481992859]
:FORWARD ACCEPT [2843601:2761047644]
:OUTPUT ACCEPT [3003644:1417790928]
:POSTROUTING ACCEPT [8792033:5180212357]
COMMIT
# Completed on Sat Aug 20 12:24:25 2016
# Generated by iptables-save v1.4.12.1 on Sat Aug 20 12:24:25 2016
*raw
:PREROUTING ACCEPT [5375648:3213895199]
:OUTPUT ACCEPT [2997155:1416507987]
-A PREROUTING -i lo -j NOTRACK
-A OUTPUT -o lo -j NOTRACK
COMMIT
# Completed on Sat Aug 20 12:24:25 2016

albertus
(20.08.16 10:25:17 MSK) автор топика

Ссылка

Ответ на: комментарий от chenger 19.08.16 18:30:09 MSK

Спасибо Всем!!!Всех помучил. Буду глубже изучать route и iptables. Решилось

iptables -A FORWARD -i eth0 -o eth3 -s 192.168.0.0/24 -j ACCEPT iptables -A FORWARD -i eth3 -o eth0 -d 192.168.0.0/24 -j ACCEPT iptables -A POSTROUTING -s 192.168.0.0/24 -d 10.1.51.0/24 -o eth3 -j SNAT --to-source 10.1.101.11 route add -net 10.1.51.0 netmask 255.255.255.0 via 10.1.101.254 dev eth3

эт помогло!

albertus
(22.08.16 16:54:58 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

← 1 2 →

←	Samba и AD(дисконнект сетевого диска)

Admin

Анонимный доступ в OpenLDAP

→

Похожие темы