Re: [Lug-bg] Problem s iptables
- Subject: Re: [Lug-bg] Problem s iptables
- From: Dragomir Zhelev <drago@xxxxxxxxxx>
- Date: Thu, 2 Oct 2008 20:18:10 +0300
- Organization: g00NeT
On Thursday 02 October 2008 02:01:41 Svetlin Nakov wrote:
> Мисля, че ме насочи в правилната посока. Намерих една статия по въпроса:
> http://linux-ip.net/html/adv-multi-internet.html.
Да, ако трябва да прекарвам определени портове през различните доставчици бих
ползвал iptables. Между другото доколкото помня nat-a на iproute от 10.4 не
работи с ядрата над 2.2 опитай все пак ;)
>
> Пичовете имат точно нашия проблем: 2 Интернет доставчика и искат да рутират
> HTTP и HTTPS трафика към вътрешна машина от локалната им мрежа.
>
> Изглежда разбираемо и ще го пробвам в близките дни.
>
> Поздрави,
> Наков
>
> -----Original Message-----
> From: lug-bg-bounces@xxxxxxxxxxxxxxxxxx
> [mailto:lug-bg-bounces@xxxxxxxxxxxxxxxxxx] On Behalf Of Dragomir Zhelev
> Sent: Wednesday, October 01, 2008 9:29 PM
> To: Linux Users Group - Bulgaria
> Subject: Re: [Lug-bg] Problem s iptables
>
> Здравей,
>
> това е съвсем нормално защото доставчика който ти е и default gw не
> пропуска
>
> src IP адреса на другия ти доставчик. Освен с маркиране задачката може да
> се
>
> реши и с ip rules ето ти и един пример :
>
> ip ru add from <IP_ISP2> table 100
> ip r a default via <ISP2_GW> t 100
>
> където ISP2 ти е доставчика които не е default gw.
>
>
> Надявам се да съм бил ясен.
>
> Поздрави.
>
> On Tuesday 30 September 2008 19:42:15 Svetlin Nakov wrote:
> > Здравейте,
> >
> >
> >
> > В офиса имам 2 доставчика на Интернет. И двата ми дават реални IP адреси.
> > Направил съм си port forward от външните IP адреси към няколко вътрешни
> > ресурси, към които ми трябва достъп от Интернет (порт 9024 и порт 9025).
> >
> >
> >
> > Сега имам следния проблем: Като дам за default gateway единия доставчик,
> > имаме Интернет в офиса (по първия канал), но от Интернет работи само
> > неговото IP (другото отговаря на ping, но не пренася портовете към
> > вътрешните сървъри). Като дам за default gateway другия доставчик (втория
> > канал), пак имаме Интернет в офиса (по втория канал), но от Интернет
>
> работи
>
> > само второто IP.
> >
> >
> >
> > Не мога да накарам услугите на порт 9024 и порт 9025 да са достъпни и от
> > двата реални IP адреса едновременно.
> >
> >
> >
> > Разследвах какво става с iptraf и tcpdump и установих, че на пакетите,
> > които идват по втория канал (който не е default gateway) им се отговаря
> > по първия канал. Много странно поведение. Вероятно не правя коректно port
> > forwarding настройките.
> >
> >
> >
> > Прилагам настройките, които ползвам:
>
> ---------------------------------------------------------------------------
>
> >- --------------------------------
> >
> >
> >
> > [root@border-router root]# ifconfig
> >
> > eth0 Link encap:Ethernet HWaddr 00:30:84:75:1F:FD
> >
> > inet addr:192.168.0.2 Bcast:192.168.0.255 Mask:255.255.255.0
> >
> > UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
> >
> > RX packets:49070 errors:0 dropped:0 overruns:0 frame:0
> >
> > TX packets:62062 errors:0 dropped:0 overruns:0 carrier:0
> >
> > collisions:0 txqueuelen:100
> >
> > RX bytes:12892792 (12.2 Mb) TX bytes:53829268 (51.3 Mb)
> >
> > Interrupt:12 Base address:0xf000
> >
> >
> >
> > eth1 Link encap:Ethernet HWaddr 00:30:84:75:1F:CD
> >
> > inet addr:192.168.2.2 Bcast:192.168.2.255 Mask:255.255.255.0
> >
> > UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
> >
> > RX packets:140103 errors:0 dropped:0 overruns:0 frame:0
> >
> > TX packets:172704 errors:0 dropped:0 overruns:0 carrier:0
> >
> > collisions:0 txqueuelen:100
> >
> > RX bytes:17077690 (16.2 Mb) TX bytes:122130851 (116.4 Mb)
> >
> > Interrupt:10 Base address:0x1000
> >
> >
> >
> > eth2 Link encap:Ethernet HWaddr 00:08:A1:7F:1C:F4
> >
> > inet addr:192.168.1.2 Bcast:192.168.1.255 Mask:255.255.255.0
> >
> > UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
> >
> > RX packets:262 errors:0 dropped:0 overruns:0 frame:0
> >
> > TX packets:179 errors:0 dropped:0 overruns:0 carrier:0
> >
> > collisions:0 txqueuelen:100
> >
> > RX bytes:25975 (25.3 Kb) TX bytes:10758 (10.5 Kb)
> >
> > Interrupt:11 Base address:0x3000
> >
> >
> >
> > eth3 Link encap:Ethernet HWaddr 00:30:84:75:18:63
> >
> > inet addr:192.168.6.2 Bcast:192.168.6.255 Mask:255.255.255.0
> >
> > UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
> >
> > RX packets:237430 errors:0 dropped:0 overruns:0 frame:0
> >
> > TX packets:184918 errors:0 dropped:0 overruns:0 carrier:0
> >
> > collisions:0 txqueuelen:100
> >
> > RX bytes:181251546 (172.8 Mb) TX bytes:29625412 (28.2 Mb)
> >
> > Interrupt:12 Base address:0x5000
> >
> >
> >
> > lo Link encap:Local Loopback
> >
> > inet addr:127.0.0.1 Mask:255.0.0.0
> >
> > UP LOOPBACK RUNNING MTU:16436 Metric:1
> >
> > RX packets:581 errors:0 dropped:0 overruns:0 frame:0
> >
> > TX packets:581 errors:0 dropped:0 overruns:0 carrier:0
> >
> > collisions:0 txqueuelen:0
> >
> > RX bytes:71486 (69.8 Kb) TX bytes:71486 (69.8 Kb)
> >
> >
> >
> > tun0 Link encap:Point-to-Point Protocol
> >
> > inet addr:192.168.3.1 P-t-P:192.168.3.2 Mask:255.255.255.255
> >
> > UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
> >
> > RX packets:220 errors:0 dropped:0 overruns:0 frame:0
> >
> > TX packets:174 errors:0 dropped:0 overruns:0 carrier:0
> >
> > collisions:0 txqueuelen:100
> >
> > RX bytes:19580 (19.1 Kb) TX bytes:31911 (31.1 Kb)
>
> ---------------------------------------------------------------------------
>
> >- --------------------------------
> >
> >
> >
> > [root@border-router root]# route
> >
> > Kernel IP routing table
> >
> > Destination Gateway Genmask Flags Metric Ref Use
> > Iface
> >
> > 192.168.3.2 * 255.255.255.255 UH 0 0 0
> > tun0
> >
> > 192.168.6.0 * 255.255.255.0 U 0 0 0
> > eth3
> >
> > 192.168.3.0 192.168.3.2 255.255.255.0 UG 0 0 0
> > tun0
> >
> > 192.168.2.0 * 255.255.255.0 U 0 0 0
> > eth1
> >
> > 192.168.1.0 * 255.255.255.0 U 0 0 0
> > eth2
> >
> > 192.168.0.0 * 255.255.255.0 U 0 0 0
> > eth0
> >
> > 127.0.0.0 * 255.0.0.0 U 0 0 0
> > lo
> >
> > default 192.168.6.1 0.0.0.0 UG 0 0 0
> > eth3
>
> ---------------------------------------------------------------------------
>
> >- --------------------------------
> >
> >
> >
> > [root@border-router root]# cat /etc/sysconfig/iptables
> >
> >
> >
> > # Generated by iptables-save v1.2.7a on Tue Feb 3 18:59:36 2004
> >
> > *nat
> >
> > :PREROUTING ACCEPT [3826028:450721308]
> > :
> > :POSTROUTING ACCEPT [489166:30731077]
> > :
> > :OUTPUT ACCEPT [501461:32049378]
> >
> > # DEV port forward
> >
> > -A PREROUTING -i eth2 -p tcp -m tcp --dport 9024 -j DNAT --to
> > 192.168.0.24:443
> >
> > -A PREROUTING -i eth3 -p tcp -m tcp --dport 9024 -j DNAT --to
> > 192.168.0.24:443
> >
> >
> >
> > # PROJECT port forward
> >
> > -A PREROUTING -i eth2 -p tcp -m tcp --dport 9025 -j DNAT --to
> > 192.168.0.25:443
> >
> > -A PREROUTING -i eth3 -p tcp -m tcp --dport 9025 -j DNAT --to
> > 192.168.0.25:443
> >
> >
> >
> > -A POSTROUTING -j MASQUERADE -s 192.168.0.0/24
> >
> > -A POSTROUTING -j MASQUERADE -s 192.168.2.0/24
> >
> > -A POSTROUTING -j MASQUERADE -s 192.168.3.0/24
> >
> > -A POSTROUTING -j MASQUERADE -s 192.168.6.0/24
> >
> > COMMIT
> >
> >
> >
> > # Completed on Tue Feb 3 18:59:36 2004
> >
> > # Generated by iptables-save v1.2.7a on Tue Feb 3 18:59:36 2004
> >
> >
> >
> > *mangle
> >
> > :PREROUTING ACCEPT [36497804:22370690460]
> > :
> > :INPUT ACCEPT [10012719:4687680109]
> > :
> > :FORWARD ACCEPT [26410023:17675681338]
> > :
> > :OUTPUT ACCEPT [10461124:5342939882]
> > :
> > :POSTROUTING ACCEPT [36825304:23005473811]
> >
> > COMMIT
> >
> >
> >
> > # Completed on Tue Feb 3 18:59:36 2004
> >
> > # Generated by iptables-save v1.2.7a on Tue Feb 3 18:59:36 2004
> >
> > *filter
> >
> > :INPUT ACCEPT [10647040:4805420467]
> > :
> > :FORWARD ACCEPT [26911698:17913658231]
> > :
> > :OUTPUT ACCEPT [10530480:5353253885]
> >
> > # DEV port forward
> >
> > -A FORWARD -p tcp -i eth0 -d 192.168.0.24 --dport 443 -j ACCEPT
> >
> >
> >
> > # PROJECT port forward
> >
> > -A FORWARD -p tcp -i eth0 -d 192.168.0.25 --dport 443 -j ACCEPT
> >
> >
> >
> > # Filter NET2 to NET0 traffic
> >
> > -A FORWARD -s 192.168.2.0/24 -d 192.168.0.24/32 -p tcp --dport 443 -j
> > ACCEPT
> >
> > -A FORWARD -s 192.168.2.0/24 -d 192.168.0.0/24 -j DROP
> >
> >
> >
> > COMMIT
>
> ---------------------------------------------------------------------------
>
> >- --------------------------------
> >
> >
> >
> > Някой има ли идея къде бъркам?
> >
> >
> >
> > Svetlin Nakov
> >
> > Director Training and Consulting Activities
> >
> > National Academy for Software Development
> >
> > http://academy.devbg.org
>
> _______________________________________________
> Lug-bg mailing list
> Lug-bg@xxxxxxxxxxxxxxxxxx
> http://linux-bulgaria.org/mailman/listinfo/lug-bg
Attachment:
signature.asc
Description: This is a digitally signed message part.
_______________________________________________
Lug-bg mailing list
Lug-bg@xxxxxxxxxxxxxxxxxx
http://linux-bulgaria.org/mailman/listinfo/lug-bg
|