Помогите разобраться с маршрутизацией, или подскажите как быть.

0

0

В моем распоряжении есть 5 интернет адресов
х.х.х.2
. . .
х.х.х.6

сеть х.х.х.0 / 255.255.255.248

от точки с адресом х.х.х.1 идет шнурок, это провайдерская девайсина.
сейчас использую х.х.х.2, к нему подключен этот шнурок, и адрес х.х.х.1 прописан в качестве гетвея. х.х.х.2 имеет 4 сетевых интерфейса, 3 локалки и 1 внешний(собственно х.х.х.2)
на нем стоит Федора Кор 2, и все сети прекрасно работают.
route -n с этого сервака.

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
х.х.х.0 0.0.0.0 255.255.255.248 U 0 00 eth3
192.168.3.0 0.0.0.0 255.255.255.0 U 0 00 eth2
192.168.2.0 0.0.0.0 255.255.255.0 U 0 00 eth1
192.168.1.0 0.0.0.0 255.255.255.0 U 0 00 eth0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 00 lo
0.0.0.0 х.х.х.1 0.0.0.0 UG 0 00 eth3

Щас необходим еще 1 внешний IP адрес. Вопрос:
Можно ли в первой локалке включить комп с внешний IP адсом, и как нибудь сделать маршрутизацию чтоб этот комп нормально работал с инэтом со своим адресом...
если да, то как ?
Нет, что сделать?

спасибо

Ссылка

←	IP-адрес юзера в Jabberd2

2novocel

→

Комп (А) в локалке с "локальным" адресом, а на шлюзе (комп с 4 eth.)
делать SNAT для трафика с (А) в реальный (x.x.x.3) адрес. Для входящeго трафика идущего на х.х.х.3 делать DNAT на комп (А)

~~sdio~~ ★★★★★
(21.01.05 14:37:29 MSK)

Ответ на: комментарий от sdio 21.01.05 14:37:29 MSK

сделал:

iptables -t filter -A FORWARD -d 192.168.1.202 -j ACCEPT
iptables -t filter -A FORWARD -s 192.168.1.202 -j ACCEPT

iptables -t nat -A POSTROUTING -o $Ext_i -s 192.168.1.202 -j SNAT --to-source х.х.х.5
iptables -t nat -A PREROUTING -d х.х.х.5 -j DNAT --to-destination 192.168.1.202

не пашет.

трэйсраут с наружи прерываеться перед хостом х.х.х.1, т.е. перед провайдерским.

anonymous
(21.01.05 15:09:50 MSK)

Ответ на: комментарий от anonymous 21.01.05 15:09:50 MSK

Другие правила в iptables есть?
Каков их порядок?

iptables -L -n
iptables -L -n -t nat

~~sdio~~ ★★★★★
(21.01.05 15:17:35 MSK)

Ответ на: комментарий от sdio 21.01.05 15:17:35 MSK

есть правила которые я написал поставил в самое начало.

anonymous
(21.01.05 15:18:45 MSK)

Ответ на: комментарий от anonymous 21.01.05 15:18:45 MSK

Убери пока правило с PREROUTING, т.е. оставь эти 3:

iptables -t filter -A FORWARD -d 192.168.1.202 -j ACCEPT
iptables -t filter -A FORWARD -s 192.168.1.202 -j ACCEPT

iptables -t nat -A POSTROUTING -o $Ext_i -s 192.168.1.202 -j SNAT --to-source х.х.х.5

И посмотри есть ли доступ в Интернет

~~sdio~~ ★★★★★
(21.01.05 15:22:15 MSK)

Ответ на: комментарий от anonymous 21.01.05 15:18:45 MSK

что то мне подсказывает что надо позвонить прову и попросить чтоб пакеты для х.х.х.3 - х.х.х.6 направлялись на х.х.х.2, для дальнейшейго их разруливания ...

anonymous
(21.01.05 15:23:20 MSK)

Ссылка

Ответ на: комментарий от sdio 21.01.05 15:22:15 MSK

ну тут ясно что доступа не будет ...

ибо х.х.х.5 нет, куда обратные пакеты пойдут?

если вместо х.х.х.5 поставить х.х.х.2 то инэт будет

anonymous
(21.01.05 15:25:24 MSK)

Ответ на: комментарий от anonymous 21.01.05 15:25:24 MSK

Если пакеты для адресов х.х.х.2-х.х.х.5 пров. пересылает на х.х.х.2, то инет будет, так как это забота iptables делать автоматом DNAT (для TCP/UDP сессий открытых с 192.168.1.202)

~~sdio~~ ★★★★★
(21.01.05 15:29:44 MSK)

Ответ на: комментарий от sdio 21.01.05 15:29:44 MSK

ну я и говорю что судя повсему придеться позвонить прову.

спасибо за идею про ДНАТ, сам до нее не доходил.

anonymous
(21.01.05 15:33:35 MSK)

Ссылка

Ответ на: комментарий от anonymous 21.01.05 15:09:50 MSK

>iptables -t nat -A POSTROUTING -o $Ext_i -s 192.168.1.202 -j SNAT --to-source х.х.х.5

>iptables -t nat -A PREROUTING -d х.х.х.5 -j DNAT --to-destination 192.168.1.202

Неправильно.

>iptables -t nat -A POSTROUTING -o $Ext_i -s 192.168.1.202 -j SNAT --to-source х.х.х.5

У тебя подключен единственный интерфейс - x.x.x.2 Поэтому если ты не назначаешь второй адрес на этот интерфейс (x.x.x.5), то в SNAT должен писать x.x.x.2

iptables -t nat -A POSTROUTING -o $Ext_i -j SNAT --to-source х.х.х.2

Пока не назначишь второй адрес, правило -s 192.168.1.202 - избыточное.

>iptables -t nat -A PREROUTING -d х.х.х.5 -j DNAT --to-destination 192.168.1.202

Здесь правильно, но можно поставить еще и -i $Ext_i

P.S. Как добавить несколько ip-адресов на интерфейс: http://www.linux.org.ru/books/lor-faq/lorFAQ-17.html#ss17.19

jackill ★★★★★
(21.01.05 16:06:22 MSK)

Ответ на: комментарий от jackill 21.01.05 16:06:22 MSK

>У тебя подключен единственный интерфейс - x.x.x.2 Поэтому если ты не
>назначаешь второй адрес на этот интерфейс (x.x.x.5), то в SNAT должен
>писать x.x.x.2

2jackil: Это ты ошибаешься.
Если пров. пересылает пакеты адресованные х.х.х.5 на комп с адресом х.х.х.2, то нет проблем.

~~sdio~~ ★★★★★
(21.01.05 16:33:21 MSK)

Ответ на: комментарий от sdio 21.01.05 16:33:21 MSK

Спасибо Jackill.

Все работает !

anonymous
(21.01.05 17:05:33 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	IP-адрес юзера в Jabberd2

Admin

2novocel

→

Похожие темы