Re: [Lug-bg] Problem s iptables
- Subject: Re: [Lug-bg] Problem s iptables
- From: "Svetlin Nakov" <svetlin@xxxxxxxxx>
- Date: Thu, 2 Oct 2008 01:56:17 +0300
- Organization: National Academy for Software Development
Мдааа, това изглежда по-простичко. Аз се надявах все пак да има някаква
опция в iptables, която да казва като се прави port forward през кой
интерфейс и през кой gateway да минава трафика. Нормално е като дойде нещо
от eth3, след port forward отговорите да се върнат обратно към eth3 и се
надявах ipchains да е достатъчно умен да го прави това.
Svetlin Nakov
Director Training and Consulting Activities
National Academy for Software Development
http://academy.devbg.org
-----Original Message-----
From: lug-bg-bounces@xxxxxxxxxxxxxxxxxx
[mailto:lug-bg-bounces@xxxxxxxxxxxxxxxxxx] On Behalf Of Dragomir Zhelev
Sent: Wednesday, October 01, 2008 9:29 PM
To: Linux Users Group - Bulgaria
Subject: Re: [Lug-bg] Problem s iptables
Здравей,
това е съвсем нормално защото доставчика който ти е и default gw не пропуска
src IP адреса на другия ти доставчик. Освен с маркиране задачката може да се
реши и с ip rules ето ти и един пример :
ip ru add from <IP_ISP2> table 100
ip r a default via <ISP2_GW> t 100
където ISP2 ти е доставчика които не е default gw.
Надявам се да съм бил ясен.
Поздрави.
On Tuesday 30 September 2008 19:42:15 Svetlin Nakov wrote:
> Здравейте,
>
>
>
> В офиса имам 2 доставчика на Интернет. И двата ми дават реални IP адреси.
> Направил съм си port forward от външните IP адреси към няколко вътрешни
> ресурси, към които ми трябва достъп от Интернет (порт 9024 и порт 9025).
>
>
>
> Сега имам следния проблем: Като дам за default gateway единия доставчик,
> имаме Интернет в офиса (по първия канал), но от Интернет работи само
> неговото IP (другото отговаря на ping, но не пренася портовете към
> вътрешните сървъри). Като дам за default gateway другия доставчик (втория
> канал), пак имаме Интернет в офиса (по втория канал), но от Интернет
работи
> само второто IP.
>
>
>
> Не мога да накарам услугите на порт 9024 и порт 9025 да са достъпни и от
> двата реални IP адреса едновременно.
>
>
>
> Разследвах какво става с iptraf и tcpdump и установих, че на пакетите,
> които идват по втория канал (който не е default gateway) им се отговаря по
> първия канал. Много странно поведение. Вероятно не правя коректно port
> forwarding настройките.
>
>
>
> Прилагам настройките, които ползвам:
>
>
>
>
---------------------------------------------------------------------------
>- --------------------------------
>
>
>
> [root@border-router root]# ifconfig
>
> eth0 Link encap:Ethernet HWaddr 00:30:84:75:1F:FD
>
> inet addr:192.168.0.2 Bcast:192.168.0.255 Mask:255.255.255.0
>
> UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
>
> RX packets:49070 errors:0 dropped:0 overruns:0 frame:0
>
> TX packets:62062 errors:0 dropped:0 overruns:0 carrier:0
>
> collisions:0 txqueuelen:100
>
> RX bytes:12892792 (12.2 Mb) TX bytes:53829268 (51.3 Mb)
>
> Interrupt:12 Base address:0xf000
>
>
>
> eth1 Link encap:Ethernet HWaddr 00:30:84:75:1F:CD
>
> inet addr:192.168.2.2 Bcast:192.168.2.255 Mask:255.255.255.0
>
> UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
>
> RX packets:140103 errors:0 dropped:0 overruns:0 frame:0
>
> TX packets:172704 errors:0 dropped:0 overruns:0 carrier:0
>
> collisions:0 txqueuelen:100
>
> RX bytes:17077690 (16.2 Mb) TX bytes:122130851 (116.4 Mb)
>
> Interrupt:10 Base address:0x1000
>
>
>
> eth2 Link encap:Ethernet HWaddr 00:08:A1:7F:1C:F4
>
> inet addr:192.168.1.2 Bcast:192.168.1.255 Mask:255.255.255.0
>
> UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
>
> RX packets:262 errors:0 dropped:0 overruns:0 frame:0
>
> TX packets:179 errors:0 dropped:0 overruns:0 carrier:0
>
> collisions:0 txqueuelen:100
>
> RX bytes:25975 (25.3 Kb) TX bytes:10758 (10.5 Kb)
>
> Interrupt:11 Base address:0x3000
>
>
>
> eth3 Link encap:Ethernet HWaddr 00:30:84:75:18:63
>
> inet addr:192.168.6.2 Bcast:192.168.6.255 Mask:255.255.255.0
>
> UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
>
> RX packets:237430 errors:0 dropped:0 overruns:0 frame:0
>
> TX packets:184918 errors:0 dropped:0 overruns:0 carrier:0
>
> collisions:0 txqueuelen:100
>
> RX bytes:181251546 (172.8 Mb) TX bytes:29625412 (28.2 Mb)
>
> Interrupt:12 Base address:0x5000
>
>
>
> lo Link encap:Local Loopback
>
> inet addr:127.0.0.1 Mask:255.0.0.0
>
> UP LOOPBACK RUNNING MTU:16436 Metric:1
>
> RX packets:581 errors:0 dropped:0 overruns:0 frame:0
>
> TX packets:581 errors:0 dropped:0 overruns:0 carrier:0
>
> collisions:0 txqueuelen:0
>
> RX bytes:71486 (69.8 Kb) TX bytes:71486 (69.8 Kb)
>
>
>
> tun0 Link encap:Point-to-Point Protocol
>
> inet addr:192.168.3.1 P-t-P:192.168.3.2 Mask:255.255.255.255
>
> UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
>
> RX packets:220 errors:0 dropped:0 overruns:0 frame:0
>
> TX packets:174 errors:0 dropped:0 overruns:0 carrier:0
>
> collisions:0 txqueuelen:100
>
> RX bytes:19580 (19.1 Kb) TX bytes:31911 (31.1 Kb)
>
>
>
>
---------------------------------------------------------------------------
>- --------------------------------
>
>
>
> [root@border-router root]# route
>
> Kernel IP routing table
>
> Destination Gateway Genmask Flags Metric Ref Use
> Iface
>
> 192.168.3.2 * 255.255.255.255 UH 0 0 0
> tun0
>
> 192.168.6.0 * 255.255.255.0 U 0 0 0
> eth3
>
> 192.168.3.0 192.168.3.2 255.255.255.0 UG 0 0 0
> tun0
>
> 192.168.2.0 * 255.255.255.0 U 0 0 0
> eth1
>
> 192.168.1.0 * 255.255.255.0 U 0 0 0
> eth2
>
> 192.168.0.0 * 255.255.255.0 U 0 0 0
> eth0
>
> 127.0.0.0 * 255.0.0.0 U 0 0 0 lo
>
> default 192.168.6.1 0.0.0.0 UG 0 0 0
> eth3
>
>
>
>
---------------------------------------------------------------------------
>- --------------------------------
>
>
>
> [root@border-router root]# cat /etc/sysconfig/iptables
>
>
>
> # Generated by iptables-save v1.2.7a on Tue Feb 3 18:59:36 2004
>
> *nat
>
> :PREROUTING ACCEPT [3826028:450721308]
> :
> :POSTROUTING ACCEPT [489166:30731077]
> :
> :OUTPUT ACCEPT [501461:32049378]
>
> # DEV port forward
>
> -A PREROUTING -i eth2 -p tcp -m tcp --dport 9024 -j DNAT --to
> 192.168.0.24:443
>
> -A PREROUTING -i eth3 -p tcp -m tcp --dport 9024 -j DNAT --to
> 192.168.0.24:443
>
>
>
> # PROJECT port forward
>
> -A PREROUTING -i eth2 -p tcp -m tcp --dport 9025 -j DNAT --to
> 192.168.0.25:443
>
> -A PREROUTING -i eth3 -p tcp -m tcp --dport 9025 -j DNAT --to
> 192.168.0.25:443
>
>
>
> -A POSTROUTING -j MASQUERADE -s 192.168.0.0/24
>
> -A POSTROUTING -j MASQUERADE -s 192.168.2.0/24
>
> -A POSTROUTING -j MASQUERADE -s 192.168.3.0/24
>
> -A POSTROUTING -j MASQUERADE -s 192.168.6.0/24
>
> COMMIT
>
>
>
> # Completed on Tue Feb 3 18:59:36 2004
>
> # Generated by iptables-save v1.2.7a on Tue Feb 3 18:59:36 2004
>
>
>
> *mangle
>
> :PREROUTING ACCEPT [36497804:22370690460]
> :
> :INPUT ACCEPT [10012719:4687680109]
> :
> :FORWARD ACCEPT [26410023:17675681338]
> :
> :OUTPUT ACCEPT [10461124:5342939882]
> :
> :POSTROUTING ACCEPT [36825304:23005473811]
>
> COMMIT
>
>
>
> # Completed on Tue Feb 3 18:59:36 2004
>
> # Generated by iptables-save v1.2.7a on Tue Feb 3 18:59:36 2004
>
> *filter
>
> :INPUT ACCEPT [10647040:4805420467]
> :
> :FORWARD ACCEPT [26911698:17913658231]
> :
> :OUTPUT ACCEPT [10530480:5353253885]
>
> # DEV port forward
>
> -A FORWARD -p tcp -i eth0 -d 192.168.0.24 --dport 443 -j ACCEPT
>
>
>
> # PROJECT port forward
>
> -A FORWARD -p tcp -i eth0 -d 192.168.0.25 --dport 443 -j ACCEPT
>
>
>
> # Filter NET2 to NET0 traffic
>
> -A FORWARD -s 192.168.2.0/24 -d 192.168.0.24/32 -p tcp --dport 443 -j
> ACCEPT
>
> -A FORWARD -s 192.168.2.0/24 -d 192.168.0.0/24 -j DROP
>
>
>
> COMMIT
>
>
>
>
---------------------------------------------------------------------------
>- --------------------------------
>
>
>
> Някой има ли идея къде бъркам?
>
>
>
> Svetlin Nakov
>
> Director Training and Consulting Activities
>
> National Academy for Software Development
>
> http://academy.devbg.org
_______________________________________________
Lug-bg mailing list
Lug-bg@xxxxxxxxxxxxxxxxxx
http://linux-bulgaria.org/mailman/listinfo/lug-bg
|