Konfiguracja Routera
Moderatorzy: Moderatorzy, Administratorzy
-
- Użytkownik
- Posty: 5
- Rejestracja: 2014-03-15, 16:27
Konfiguracja Routera
Witam,
Mam takie zadanie do zrealizowania:
Dostałem od operatora następujące dane:
adres p2p: a.b.c.d/31
pulę adresów LAN: e.f.g.h/29
W serwerze są dwie karty sieciowe WAN - eth0, LAN - eth1.
Do tej pory serwer funkcjonował jedynie na zasadzie podziału łącza w LANie - bez wykorzystania pozostałych adresów zewn. z puli /29.
Proszę o pomoc i wskazówki jak skonfigurować serwer (o ile jest to możliwe) aby móc ustawić na dowolnym komputerze, adres zewnętrzny z puli /29.
(Jak zapewne już widać, jestem jeszcze dość zielony w te klocki dlatego proszę o wyrozumiałość i możliwie prosty język )
Z góry bardzo dziękuję!
Mam takie zadanie do zrealizowania:
Dostałem od operatora następujące dane:
adres p2p: a.b.c.d/31
pulę adresów LAN: e.f.g.h/29
W serwerze są dwie karty sieciowe WAN - eth0, LAN - eth1.
Do tej pory serwer funkcjonował jedynie na zasadzie podziału łącza w LANie - bez wykorzystania pozostałych adresów zewn. z puli /29.
Proszę o pomoc i wskazówki jak skonfigurować serwer (o ile jest to możliwe) aby móc ustawić na dowolnym komputerze, adres zewnętrzny z puli /29.
(Jak zapewne już widać, jestem jeszcze dość zielony w te klocki dlatego proszę o wyrozumiałość i możliwie prosty język )
Z góry bardzo dziękuję!
Re: Konfiguracja Routera
Kod: Zaznacz cały
ifconfig eth1_karta_NET:0 kolejne_zewn_IP
iptables -t nat -A POSTROUTING -s ip_lokaln_kompa -o eth1_karta_NET -j SNAT --to kolejne_zewn_IP
iptables -t nat -A PREROUTING -d kolejne_zewn_IP -p tcp -j DNAT --to ip_lokaln_kompa
iptables -t nat -A PREROUTING -d kolejne_zewn_IP -p udp -j DNAT --to ip_lokaln_kompa
-
- Użytkownik
- Posty: 5
- Rejestracja: 2014-03-15, 16:27
Re: Konfiguracja Routera
Dodałem wirtualny interface:
W iptables dodałem wpisy:
Niestety klient nadal korzysta z zewnętrznego ip p2p /31.
Kod: Zaznacz cały
ifconfig eth1:0 xx.xx.xx.208 netmask 255.255.255.248
Kod: Zaznacz cały
iptables -t nat -A POSTROUTING -s 10.1.1.5 -o eth1 -j SNAT --to xx.xx.xx.209
iptables -t nat -A PREROUTING -d xx.xx.xx.209 -p tcp -j DNAT --to 10.1.1.5
iptables -t nat -A PREROUTING -d xx.xx.xx.209 -p udp -j DNAT --to 10.1.1.5
Re: Konfiguracja Routera
Zakładam, że klient najpierw dostał wpis o SNAT publicznym Twoim defaultowym
Kod: Zaznacz cały
iptables -t nat -D POSTROUTING -s 10.1.1.5 -o eth1 -j SNAT --to Twój_Główny_SNAT
-
- Użytkownik
- Posty: 5
- Rejestracja: 2014-03-15, 16:27
Re: Konfiguracja Routera
Nie pomogło niestety. Co jeszcze mogę sprawdzić?
Re: Konfiguracja Routera
Czy -o eth1 jest dobrym argumentem? Ja patrząc w moje zabawy z VirtualBoxem i z zewnętrznymi ipkami dla niego nie podaje -o.
SNAT defaultowy oczywiście musi być na samym dole łańcucha.
SNAT defaultowy oczywiście musi być na samym dole łańcucha.
Pozdr0
dienet
[img]http://i164.photobucket.com/albums/u19/slawek15/kotekeo0lq3.jpg[/img]
dienet
[img]http://i164.photobucket.com/albums/u19/slawek15/kotekeo0lq3.jpg[/img]
-
- Użytkownik
- Posty: 5
- Rejestracja: 2014-03-15, 16:27
Re: Konfiguracja Routera
Próbowałem też bez parametru -o eth1, bezskutecznie.
Poniżej cała obecna konfiguracja routera:
Poniżej cała obecna konfiguracja routera:
Kod: Zaznacz cały
#!/bin/sh
# uruchomienie przekazywania pakietow IP.
echo "1" > /proc/sys/net/ipv4/ip_forward
# wyczyśćmy tablice iptables odpowiedzialne za nat i za filtrowanie pakietów:
iptables -F -t nat
iptables -X -t nat
iptables -F -t filter
iptables -X -t filter
# Domyślnie odrzucamy i nie zezwalany na forwardowanie pakietów
iptables -t filter -P FORWARD DROP
#Blokada internetu
iptables -A FORWARD -s 0/0 -d 10.1.1.10 -j DROP #blokada pc1
iptables -A FORWARD -s 0/0 -d 10.1.1.11 -j DROP #blokada pc2
iptables -A FORWARD -s 0/0 -d 10.1.1.12 -j DROP #blokada pc3
# Zezwalamy na by serwer przepuszczał pakiety które pochodzą z naszej sieci
# lokalnej lub są dla niej przeznaczone.
iptables -t filter -A FORWARD -s 10.1.1.0/255.255.255.0 -d 0/0 -j ACCEPT
iptables -t filter -A FORWARD -s 0/0 -d 10.1.1.0/255.255.255.0 -j ACCEPT
# Teraz nakazujemy by wszystkie pakiety pochodzące z lanu były maskowane
iptables -t nat -A POSTROUTING -s 10.1.1.0/16 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.1.1.5 -j SNAT --to xx.xx.xx.209
iptables -t nat -A PREROUTING -d xx.xx.xx.209 -p tcp -j DNAT --to 10.1.1.5
iptables -t nat -A PREROUTING -d xx.xx.xx.209 -p udp -j DNAT --to 10.1.1.5
Re: Konfiguracja Routera
Stary Bo Masz Maskarade, nie Możesz mieć Maskarady, tylko sztywny SNAT.
-
- Użytkownik
- Posty: 5
- Rejestracja: 2014-03-15, 16:27
Re: Konfiguracja Routera
Ok, zmieniłem więc konfigurację na:
Próbowałem też umieścić linijkę
na początku łańcucha POSTROUTING
I nadal nie działa.
Kod: Zaznacz cały
#!/bin/sh
# uruchomienie przekazywania pakietow IP.
echo "1" > /proc/sys/net/ipv4/ip_forward
# wyczyśćmy tablice iptables odpowiedzialne za nat i za filtrowanie pakietów:
iptables -F -t nat
iptables -X -t nat
iptables -F -t filter
iptables -X -t filter
# Domyślnie odrzucamy i nie zezwalany na forwardowanie pakietów
iptables -t filter -P FORWARD DROP
#Blokada internetu
iptables -A FORWARD -s 0/0 -d 10.1.1.10 -j DROP #blokada pc1
iptables -A FORWARD -s 0/0 -d 10.1.1.11 -j DROP #blokada pc2
iptables -A FORWARD -s 0/0 -d 10.1.1.12 -j DROP #blokada pc3
# Zezwalamy na by serwer przepuszczał pakiety które pochodzą z naszej sieci
# lokalnej lub są dla niej przeznaczone.
iptables -t filter -A FORWARD -s 10.1.1.0/255.255.255.0 -d 0/0 -j ACCEPT
iptables -t filter -A FORWARD -s 0/0 -d 10.1.1.0/255.255.255.0 -j ACCEPT
# Teraz nakazujemy by wszystkie pakiety pochodzące z lanu były maskowane
iptables -t nat -A POSTROUTING -s 10.1.1.0/24 -d 0/0 -j SNAT --to-source a.b.c.d #(adres p2p a.b.c.d/31)
iptables -t nat -A POSTROUTING -s 10.1.1.5 -j SNAT --to xx.xx.xx.209
iptables -t nat -A PREROUTING -d xx.xx.xx.209 -p tcp -j DNAT --to 10.1.1.5
iptables -t nat -A PREROUTING -d xx.xx.xx.209 -p udp -j DNAT --to 10.1.1.5
Kod: Zaznacz cały
iptables -t nat -A POSTROUTING -s 10.1.1.5 -j SNAT --to xx.xx.xx.209
I nadal nie działa.
Re: Konfiguracja Routera
Zacznijmy od tego, że Powinieneś operować interfejsami a nie 0/0. Dla przykładu gdzie WAN to eth1
Qmasz?
Kod: Zaznacz cały
# Ustawiasz SNAT na sztywno na podstawie ETH
iptables -t nat -A POSTROUTING -s 10.1.1.0/24 -o eth1 -j SNAT --to a.b.c.d
# Usuwasz nie właściwy wpis dla pojedynczego adresu z klasy powyżej, który finalnie ma mieć SNAT inny - chyba jasne
iptables -t nat -D POSTROUTING -s 10.1.1.5 -o eth1 -j SNAT --to a.b.c.d
# Nadajesz temu ipkowi nowy SNAT
iptables -t nat -A POSTROUTING -s 10.1.1.5 -o eth1 -j SNAT --to xx.xx.xx.209
# Przekierowujesz nowy SNAT na clienta
iptables -t nat -A PREROUTING -d xx.xx.xx.209 -p tcp -j DNAT --to 10.1.1.5
iptables -t nat -A PREROUTING -d xx.xx.xx.209 -p udp -j DNAT --to 10.1.1.5