Автор Тема: home router през една LAN?  (Прочетена 2963 пъти)

kalinux

  • Участници
  • ***
  • Публикации: 8
    • Профил
home router през една LAN?
« -: Jan 23, 2006, 18:07 »
В домашната ми мрежа към един суич са свързани една линукс машина (server), windows 98 (win), втора линукс машина (lin) и кабела от локалната мрежа на интернет доставчика. Всеки компютър е с една мрежова карта.

На server съм пуснал към eth0 два адреса, единия за LAN, другия за интернет. ifconfig ми показва на server две устройства eth0 за WAN u eth0:1 за LAN.

От server имам интернет и виждам win. От win виждам Самбата на server. Сега искам от lin да получа интернет през server.

За целта ползвам документацията на gentoo за home router
Когато съм правил рутер с две мрежови карти съм нямал проблем. Но сега като стигна до задаването на правилата в iptables и посоча като LAN eth0:1 ми дава следното съобщение:
Примерен код
iptables -I INPUT 1 -i eth0:1 -j ACCEPT
Warning: wierd character in interface `eth0:1' (No aliases, :, ! or *).


Това означава ли, че не мога да направя рутер през една мрежова карта?

И двата лунукса са с gentoo 2.6.14 ядро, iptables v.1.3.4
Активен

Gentoo Linux, Gnome

Hapkoc

  • Напреднали
  • *****
  • Публикации: 2117
    • Профил
home router през една LAN?
« Отговор #1 -: Jan 23, 2006, 18:24 »
Мда, netfilter май не разбира от alias-и. То реално alias-а е 2ри (Nти) IP адрес на един и същ интерфейс.

Можеш да направиш нещо от рода на:
iptables -A INPUT -i eth0 -d <eth0:1 IP> ... -j ACCEPT

Обаче една мрежова карта струва под 10 лева, а така (с alias) имаш просто "перфектна" сигурност, така че си мисля най-добре си купи още една мрежарка...
Активен

kalinux

  • Участници
  • ***
  • Публикации: 8
    • Профил
home router през една LAN?
« Отговор #2 -: Jan 24, 2006, 20:39 »
Пускането на рутер през 2 lan-ки не е никакъв проблем, като се ползва интрукциите на gentoo. Въпросът е как да стане с една.

Явно трябва по някакъв начин да се направи разграничаване между LAN и WAN пакетите но не чрез интерфейса (-i {$LAN} и -i {$WAN}). Може би по входните и изходните адреси на пакетите (-d -s опции), но как точно не знам. От примера на gentoo "скалъпих" следния вариант на правилата.
Примерен код

iptables -I INPUT 1 -d 192.168.0.0/24 -j ACCEPT
iptables -I INPUT 1 -s 192.168.0.0/24 -j ACCEPT
iptables -I INPUT 1 -i lo -j ACCEPT

#NAT rules
iptables -I FORWARD -d 192.168.0.0/255.255.0.0 -j DROP
iptables -A FORWARD -s 192.168.0.0/255.255.0.0 -j ACCEPT
iptables -A FORWARD -d 192.168.0.0/255.255.0.0 -j ACCEPT
iptables -t nat -A POSTROUTING -d ! 192.168.0.0/24 -j MASQUERADE


Не разбрах от NAT HOWTO точно как работи MASQUERADE. Ако има някакво значение server има статичен ip. Има ли някакъв лесен начин да проследя къде ми се губят пакетите, като пингвам например от lin някакъв външен адрес.
Активен

Gentoo Linux, Gnome

kalinux

  • Участници
  • ***
  • Публикации: 8
    • Профил
home router през една LAN?
« Отговор #3 -: Jan 25, 2006, 00:16 »
За любознателните вижте тук

Все пак ако някой може да даде точно правилата за такъв тип рутер, ще ми бъде интересно '<img'>
Активен

Gentoo Linux, Gnome

sdr

  • Напреднали
  • *****
  • Публикации: 655
    • Профил
home router през една LAN?
« Отговор #4 -: Jan 25, 2006, 01:22 »
Цитат (kalinux @ Ян. 25 2006,01:16)
За любознателните вижте тук

Все пак ако някой може да даде точно правилата за такъв тип рутер, ще ми бъде интересно '<img'>

Всъщност любознателните трябва да питат в Google и бързо ще намерят
това

p.s. Извинявай Наркос! Ти си го казал пръв аз пак съм се "плъзнал" по темата
Активен

DTPN

  • Участници
  • ***
  • Публикации: 9
    • Профил
home router през една LAN?
« Отговор #5 -: Feb 04, 2006, 10:34 »
iptables -t nat -A POSTROUTING -s 192.168.0.2 -o eth0 -j MASQUERADE

192.168.0.2 е ип на машината на която ще даваш нет през етх0:1. Тествано е и работи с 1 карта... Има много такива теми и във форума и във google, но явно не си си направил труда да потърсиш преди да пуснеш тема, и то пък във секцията за напреднали ?! което говори лошо за теб  ':huh:'

Колкото до работата на masquerade - най-просто казано netfilter има изградени правила за маскиране на дадени адреси/мрежи. Когато пристигне един пакет при рутера той проверява дали IP адреса на източника на този пакет трябва да бъде маскиран. Ако е така, заменя се хедъра в този пакет който съдържа IP адреса на източник на пакета със IP адреса на мрежовата карта през която ще се прати този пакет, намаля числото в хедъра TTL с 1 (защото този пакет е преминал през сървър), записва си в таблица от кой идва този пакет и го пуска нататък по мрежата. Така изглежда, че пакета е изпратен от сървъра а не от клиента. Когато пристигне отговор на този пакет, сървъра проверява IP адреса за получател на пакета със адреса който си записа по-рано (на клиента), и пуска пакета през локалния интерфейс...
В най-общи линии така работи  '<img'>

За конкретния случай. Да приемем че ип адреса на клиента е 192.168.0.2, а ип адреса на сървъра (eth0 - 192.168.1.2, eth0:1 - 192.168.0.1)

Клиента изпраща пакет адресиран примерно до 64.233.167.99 (google.com) като използва за Gateway 192.168.0.1. Пакета пристига при сървъра, той проверява дали 192.168.0.2 трябва да се маскира - да (със iptables -t nat -A POSTROUTING -s 192.168.0.2 -o eth0 -j MASQUERADE сме му '' казали '' да маскира всички пакети които идват от 192.168.0.2 и да ги пуска през eth0).
Променя полето за източник на пакета от 192.168.0.2 на 192.168.1.2, намалява му TTL с 1-ца и си записва че е маскирал пакет от 192.168.0.2. Изпраща пакета през eth0 нататък по мрежата, когато пристигне отговор на този пакет сървъра променя IP адреса на получателя от 192.168.1.2 на 192.168.0.2 и го праща на клиента - отваря му се страницата на Google.

Пак казвам - нещата в действителност са малко по-сложни, така че не претендирам за изчерпателност, но най-просто казано така действа masquerade '<img'>
Активен

Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
Два линукса + 1 /home?
Настройка на програми
gromeo 15 4843 Последна публикация Jun 22, 2004, 14:10
от n_antonov
не мога да пиша в home директорията ми!
Настройка на програми
Soulstealer 1 1885 Последна публикация Oct 19, 2004, 12:49
от nix
Home директорията
Настройка на програми
Златко 11 4204 Последна публикация Oct 04, 2006, 14:09
от Златко
Проблем с /home дяла
Настройка на програми
SHTILL 10 5033 Последна публикация Jan 23, 2007, 23:43
от alabal
Препълване на / или /home
Настройка на програми
ikb 1 2104 Последна публикация Feb 19, 2008, 11:37
от Gaara