Изпечатай

[manbg]

Здравейте.Малко е дълго ако трябва да обясня с какво мъча в момента ,но ще се опитам да бъда кратък.Със съседи си имаме малка мрежа с която си шерваме нета.досега използвам NAT, но достачика ми дава реални адреси.Идеята ми е да минем на реални адреси но искам и линукс рутера да си работи пълноценно.Веднага се сещам че мога да направя DNAT на реалните IP  към вътрешни адреси , но това  не ми харесва чисто психически (искам хората да си виждат как на PC та си имат реални IP), другото което се сетих е с бридж, става идеално но за жалост мога да използва IPTABLES САМО и САМО в FORWARD, не върви нито INPUT, PREROUTING нито POSTROUTING. Просто с бридж нямам никакъв контрол върху двата интерфейса  - eth0 i eth1.А и е проблем с DHCP сървъра който искам да си работи .Въроса ми е - може ли да се направи така че да имам конрол с  iptables върху мержовите интерфейса, или мрежа от рода - gateway нет доставчик - 222.222.222.1, eth0 линукс рутер - 222.222.222.2 , eth1 линукс рутер - 222.222.222.3 , компютри зад линукса - 222.222.222.0/29. Предварително благодаря.

[VladSun]

Пробвай с proxy ARP:

http://www.sjdjweis.com/linux/proxyarp/
http://lartc.org/howto/lartc.bridging.proxy-arp.html

[manbg]

Благодаря ти VladSum ,  имаш биричка от мен )
Стана супер, сега линукса не е като hub,  има си твърдите адреси и iptables  си работи. Чудя се само защо пак INPUT не работи??, но пък PREROUTING И  POSTROUTING  си работят перфектно.Сега спокойно ще си работи и DHCP  сървъра, на т.н. вътрешна платка, ще мога да си редиректвам трафика където си искам, и трафик контрола ще работи (не съм го пробвал още, но не мисля че ще има проблем)

[VladSun]

Каква ти е точно схемата в момента (ИП-та, интерфейси и т.н.) и при какви условия очакваш INPUT веригата на рутера да "работи"?

[manbg]

Здравей. Значи аз сега си тествам в службата. Така е схемата. Eth0>192.168.0.9 , Eth1>192.168.0.10, Gateway >192.168.0.1, на моето pc  съм сложил статично -192.168.0.34, eth0 e в суича и във вътрешната мрежа, Eth1 e  с  обърнат кабел в мрежовата карта на моето PC.така си работи прекрасно, е не като с бриджа (трябва да се пишат малко рутинги) - само със статично ip става, но това не е проблем, на Eth1 ще пусна DHCP  сървър, ще дропна във forward порт 67 и 68 и в двете посоки няма проблем. Въщност това сега ще го тествам. Много ме учуди че не работи INPUT s DROP, исках например да спра пакети на порт 80 който влизат на eth1 a не става, пиша - iptables -A INPUT -i eth1 -p tcp --destination-port 80 -j DROP . приема командата а не работи, ако я напиша в mangle и PREROUTING  става - iptables -t mangle -A PREROUTING -i eth1 -p tcp --destination-port 80 -j DROP - спира веднага трафик към WEB  сървъри.Както и да е, щом с PREROUTING си става, така ще го използвам ако ми трябва. Мен фактичеки най ще ми трябва POSTROUTING -  тествах го работи , като органича например изход от eth0  към SSH сървър (порт 22), ще ми трябва да работи с -j CLASSIFY  -  използвам го за трафик контрол.

[VladSun]

Най-вероятно трафикът към порт 80, който искаш да спреш не е предназначен за рутера, а за машина зад него. Т.е. ако пробваш да го спреш във FORWARD вместо в PREROUTING пак ще работи

Във INPUT имаш трафик предназначен единствено за рутера (т.е. към неговия ИП адрес или 127.0.0.1)

[VladSun]

... ще ми трябва да работи с -j CLASSIFY  -  използвам го за трафик контрол.

Пробвай IPCLASSIFY patch-a ми от :
http://openfmi.net/projects/flattc/

Което ме подсеща днес да кача версията за 2.6.27+ kernel

PS: Това, последното го направих

[manbg]

Здравей VladSun, свалих си нещата който си направил и определно ще го изпробвам.Искам да те попитам някой неща - аз съм с ядро - 2.6.27.7, Slackware мисля 12, iptables 1.4.2,  оказа се , че ipset  го няма в дистрибуцията, свалих си ipset 2.2.8 i ipset 3.0. Пише че ipset 3.0 изисква iptables 1.4.4 , така че ще работи ли с ipset 2.2.8 или трябва да слагам по нова iptables?Ако си често на компютъра и ако имаш skype?? ще е доста по лесно да си пишем отколкото през този форум?

[VladSun]

При мен е така:

Код

GeSHi (Bash):
root@shaper:~# iptables -V
iptables v1.4.3.2
root@shaper:~# ipset -V
ipset v3.0 Protocol version 3.

[manbg]

при мен iptables -V пише iptables v1.4.2  и затова се чудя дали ipset 2.2.8 или 3.0 да инсталирам, защото в нетфилтер прочетох че 3.0 искала iptables 1.4.4

[VladSun]

Пробвай