LINUX.ORG.RU
ФорумSecurity

Проброс всего трафика через iptables

 


1

1

Настроил на FreeBSD ipfw, там vpn-клиент и фаервол (2 сетевухи: одна смотрит в роутер, другая в локалку 10.*). В силу определенных причин возникла необходимость подключить этот комп не напрямую в сеть, а через сервер с федорой14. на нем аналогично 2 сетевухи, одна смотрит в локалку 10.*, вторую хочу подключить к фряхе, чтобы в результате трафик просто передаваля через федору в локалку.на федоре обозвал вторую сетевуху 172.21.0.1, приконнекченную к ней сетевуху фряхи 172.21.0.2. все правила iptables на федоре сбросил на дефолт. по идее все должно пропускаться, но не идет... разбираться с нуля в iptables просто нет времени... прошу помочь!


На федоре по дефолту в iptables много чего порезано, это раз - поэтому iptables -F, iptables -F -t nat.

Два - включен ли на федоре форвардинг пакетов (команда sysctl -p должна выводить net.ipv4.ip_forward = 1, если включен)?

pianolender ★★★
()
Ответ на: комментарий от pianolender

сброс делал, а вот forward был отключен. счаз поменял, но рестартовать сервер смогу только вечером. без перезагрузки я так понимаю не заработает?

rri9
() автор топика
Ответ на: комментарий от rri9

Форвард включается двумя способами - в системном конфиге (/etc/sysctl.conf) и оперативно: 

echo 1 > /proc/sysc/net/ipv4/ip_forward
или 
 systl -p

Для того, чтобы и сразу работало, и после перезагрузки, нужно и то, и другое.

pianolender ★★★
()
Последнее исправление: pianolender (всего исправлений: 1)
Ответ на: комментарий от pianolender

сделал. все равно не пропускает. уже голова пухнет... если сначала: на фряхе одна сетка инет, вторая 172.21.0.2. к фряхе я коннекчусь по впн. она выдает мне адрес 10.0.0.171 (из моей локалки). провод из фряхи идет к федоре на 172.21.0.1. ее вторая сетевуха 10.0.0.127 подключена в локалку.

на фряхе отрублен ipfw. в rc.conf написал:

defaultrouter=«192.168.1.1» # это роутер инета

ifconfig_em0=«inet 172.21.0.2 netmask 255.255.255.0» # смотрит внутрь

ifconfig_em1=«inet 192.168.1.2 netmask 255.255.255.0» # смотрит в роутер

static_routes=«lan wan lan2»

route_lan="-net 172.0.0.0/8 -gateway 172.21.0.1"

route_lan2="-net 10.0.0.0/8 -gateway 172.21.0.1"

route_wan="-net 192.0.0.0/8 -gateway 192.168.1.1"

на федоре сбросил все правила iptables, включил форвард.

чего не хватает

rri9
() автор топика
Ответ на: комментарий от rri9

traceroute погоняйте до недоступной сети - где застрянет, там и проблема. А ещё можно сделать

iptables -I FORWARD -j LOG
на федоре, чтобы понять, куда идут форварды, а куда нет.

И ещё можно нарисовать картинку - так будет лучше. Я вроде составил уже представление о топологии, но другим так будет удобнее.

pianolender ★★★
()
Последнее исправление: pianolender (всего исправлений: 1)
Ответ на: комментарий от rri9

На федоре маршруты все прописаны? Она пингует BSD, ваш компьютер (VPN), компьютеры из сети 10.0.0.0/8?

Покажите вывод iptables-save, возможно, политика цепочки FORWARD установлена в DROP.

mky ★★★★★
()

Я бы тупо объединил сетевухи в бридж и с него слушал трафик. Или с интерфейсов, это не важно. Это работает, проверено.

федорой14

откуда такая тяга к некромании?

true_admin ★★★★★
()

на нем аналогично 2 сетевухи, одна смотрит в локалку 10.*, вторую хочу подключить к фряхе, чтобы в результате трафик просто передаваля через федору в локалку.на федоре обозвал вторую сетевуху 172.21.0.1, приконнекченную к ней сетевуху фряхи 172.21.0.2.

traceroute до сеток, ip r, ip a, iptables -vnL, iptables -vnL -t nat

yu-boot ★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Security