LINUX.ORG.RU
решено ФорумAdmin

iptables Перенаправление трафика

 ,


0

1

Добрый день! Прошу помощи, так как уже не знаю куда копать.

Есть сеть предприятия, все компы которой подключены к неуправляемому комутатору. Сюда же подключен прокси сервер, который получает интернет и таким образом раздает в локалку. Сюда же подключен модем, через который осуществляется доступ на специальные сайты организации. На робочих машинах в локалке прописывался шлюз по умолчанию 10.0.0.1 (коим и является модем для доступа к спец-сайтам) и указывался прокси сервер 10.0.0.99 (через который все ходят в интернет).

Захотел заменить винду на прокси сервере, поставл Debian, настроил Squid, iptables. На робочих машинах в локалке прописал шлюз по умолчанию 10.0.0.99. интернет есть, а вот доспупа к спец-сайтам нету. Оно и понятно. Попытался перенаправить определенный трафик на 10.0.0.1 с помощью DNAT, но доступа так же нет.

Прошу обьяснить, почему рабочая машина в локалке не может связаться с 10.0.0.1, если я перенаправляю трафик на 10.0.0.1. Не может ли быть так, что 10.0.0.1 получает пакеты от 10.0.0.99, отправляет ответ, а 10.0.0.99 не знает что с ними делать и дропает их? Если так, то не можно ли перенаправить пакеты на 10.0.0.1 без изменения адреса источника, что б 10.0.0.1 думал, что пакеты пришли от рабочей машины в локалке и ответ слал туда-же.

Не пинайте сильно за нубство,я только начинаю вникать в это все. И не могу понять этот момент.

На мой взгляд, будет лучше воткнуть в Debian шлюз еще одну сетевую карту и подключить к ней этот модем. Тогда шлюз будет маршрутизировать инет и спецсайты.

funky ()
Ответ на: комментарий от funky

Там уже 3 сетевухи: 1 - Поключение к Интернет 2 - Подключение к спецсайтам 3 - Подключени к локалке

Я тоже думал так заведется, но модем (точнее там adsl модем, после которого идет Cisco 881) не желает выдавать сетевухе IP. Думал статическим обойтись. Назначаю, и в ответ Cisco ничего. Не пингуется, сайты не работают. Но я подозреваю, что я не могу правильно настроиль 2 сетевухи для приема трафика.

ЗЫ Cisco настривала высшестоящая организация, так чо я даже посмотреть конфигурацию не могу.

Alkantel ()
Ответ на: комментарий от hbars

Выводы под спойлером

Вывод ipconfig

DNS-суффикс подключения . . . . . :
   IPv4-адрес. . . . . . . . . . . . : 10.6.85.212
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз. . . . . . . . . : 10.6.85.1
Вывод route print
===========================================================================
Список интерфейсов
 16...00 25 22 eb 09 c1 ......Realtek PCIe GBE Family Controller
  1...........................Software Loopback Interface 1
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0        10.6.85.1      10.6.85.212    291
        10.6.85.0    255.255.255.0         On-link       10.6.85.212    291
      10.6.85.212  255.255.255.255         On-link       10.6.85.212    291
      10.6.85.255  255.255.255.255         On-link       10.6.85.212    291
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    331
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    331
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    331
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    331
        224.0.0.0        240.0.0.0         On-link       10.6.85.212    291
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    331
  255.255.255.255  255.255.255.255         On-link       10.6.85.212    291
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
          0.0.0.0          0.0.0.0        10.6.85.1  По умолчанию
===========================================================================

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
 Метрика   Сетевой адрес            Шлюз
  1    331 ::1/128                  On-link
  1    331 ff00::/8                 On-link
===========================================================================
Постоянные маршруты:
  Отсутствует

Alkantel ()
Ответ на: комментарий от Alkantel

10.6.85.0/24 локальная сеть 10.6.85.99 адрес интерфейса смотрящего в локалку 10.6.85.1 адрес Cisco 10.6.85.212 адрес компа в локальной сети Опечатался

10.6.85.0/24 dev enp1s5 proto kernel scope link src 10.6.85.100

Alkantel ()

Не пинайте сильно за нубство,я только начинаю вникать в это все. И не могу понять этот момент.

Тогда предлагаю почитать как минимум следующие вещи: NET-3-HOWTO и Iptables Tutorial.

Infra_HDC ★★★★★ ()
Ответ на: комментарий от Alkantel

У вас получается ассимитричная маршрутизация:

1. пакеты с адресом назначения спецсайта приходят с клиентов на шлюз по умолчанию - ваш сервер

2. ваш сервак отправляет пакеты на циску

3. циска пуляет пакеты на спецсайт

4. с спецсайта приходит ответ на циску

5. циска видит что с спецсайта на адрес клиента приходит пакет и отправляет пакет напрямую клиенту минуя ваш сервер, т.к. циска находится в том же сегменте сети что и клиенты

gfh ★★ ()
Последнее исправление: gfh (всего исправлений: 2)
Ответ на: комментарий от Alkantel

Настроить маршрутизацию например так: между сервером и циской своя подсетка, на циске добавлен маршрут до клиентов через сервер, на сервере добавлен маршрут до спецсайтов через циску, на циске нет прямого подключения к клиентской сети.

gfh ★★ ()