Титла: Postrouting
Публикувано от: flipz в Sep 22, 2008, 18:04
На една машинка нещо аз ли се забудалих не можах да направя коректно следното:
hardware router --> eth1 linux slack eth0 --> www/pc
т.е. имам един хардуерен рутер, който е вкл. в етх1 на линукс рутерчето и е мрежа 192.168.10.101 на линукса етх1 е 192.168.10.100 .. а на етх0 172.16.0.100 клиентското пц от което искам да отворя рутера е 172.16.0.150
та как да го реализирам ..
hardware router --> eth1 linux slack eth0 --> www/pc
т.е. имам един хардуерен рутер, който е вкл. в етх1 на линукс рутерчето и е мрежа 192.168.10.101 на линукса етх1 е 192.168.10.100 .. а на етх0 172.16.0.100 клиентското пц от което искам да отворя рутера е 172.16.0.150
та как да го реализирам ..
Титла: Postrouting
Публикувано от: VladSun в Sep 22, 2008, 18:11
Трябва просто да не правиш NAT за тази връзка (HW router <-> PC) 
И, ако случайно си забранил "излизането" на частни ИП адреси в Линукс рутера - да го разрешиш.
ПП: и да си оправиш routing таблицата на клиентското PC
И, ако случайно си забранил "излизането" на частни ИП адреси в Линукс рутера - да го разрешиш.
ПП: и да си оправиш routing таблицата на клиентското PC
Титла: Postrouting
Публикувано от: flipz в Sep 22, 2008, 19:53
това за сега не ми помогна много ... аз днес пробвах следното.
разреших си input/output вдигнах си ип на етх0 което е в 192.168.10. мрежа и дадох и на него input/output/forward accept
пуснах си през squid и ми го отвори .. но неможах да се логна в устройството. а когат овлизам директо от линукс-а си ме пуска. знам, че си направих малко кошия, но за теста .. + че нещо греша някъде.
ако някой има желание и време да напише как точно трябва да стане.
разреших си input/output вдигнах си ип на етх0 което е в 192.168.10. мрежа и дадох и на него input/output/forward accept
пуснах си през squid и ми го отвори .. но неможах да се логна в устройството. а когат овлизам директо от линукс-а си ме пуска. знам, че си направих малко кошия, но за теста .. + че нещо греша някъде.
ако някой има желание и време да напише как точно трябва да стане.
Титла: Postrouting
Публикувано от: VladSun в Sep 23, 2008, 13:33
Ем... да поразсъждаваме малко.
В момента казваш, че имаш:
Ако това е вярно
, то в SWR правиш SNAT за мрежа 192.168.10.0/24 към 172.16.0.100.
Примемам, че и gateway-а (ISP) даден ти от Интернет доставчика ти е 172.16.0.X. Т.е. на SWR и PC default gateway е това IP.
Тъй като PC знае routing-a единствено за собствената си мрежа (172.16.0.0/24 да кажем), то всички връзки с dst IP извън тази мрежа ги праща към ISP.
За да не праща натам и пакетите за мрежа 192.168.10.0/24 трябва изрично да укажеш на PC, че пътят за тази мрежа минава през SWR.
Трябва да разрешиш във FORWARD веригата 192.168.10.101.
За по-долното не съм много сигурен! Пробвай само с казаното до тук.
-----------------------------------------------
Дори и след като си оправил routing таблицата на PC, пак няма да имаш връзка до HWR, защото пакетите от HWR минавайки през SWR ще влязат в SNAT правилото и ще се смени src IP-то на пакета. Т.е. трябва да изключиш случая src IP 192.168.10.101, dst IP 172.16.0.150 от SNAT веригата.
В момента казваш, че имаш:
| Примерен код |
(192.168.10.100)(172.16.0.100) HWR ----------- SWR --+----------- PC (192.168.10.101) | (172.16.0.150) | | + ----- (ISP) --- Internet (172.16.0.X) |
Ако това е вярно
, то в SWR правиш SNAT за мрежа 192.168.10.0/24 към 172.16.0.100.Примемам, че и gateway-а (ISP) даден ти от Интернет доставчика ти е 172.16.0.X. Т.е. на SWR и PC default gateway е това IP.
Тъй като PC знае routing-a единствено за собствената си мрежа (172.16.0.0/24 да кажем), то всички връзки с dst IP извън тази мрежа ги праща към ISP.
За да не праща натам и пакетите за мрежа 192.168.10.0/24 трябва изрично да укажеш на PC, че пътят за тази мрежа минава през SWR.
Трябва да разрешиш във FORWARD веригата 192.168.10.101.
За по-долното не съм много сигурен! Пробвай само с казаното до тук.
-----------------------------------------------
Дори и след като си оправил routing таблицата на PC, пак няма да имаш връзка до HWR, защото пакетите от HWR минавайки през SWR ще влязат в SNAT правилото и ще се смени src IP-то на пакета. Т.е. трябва да изключиш случая src IP 192.168.10.101, dst IP 172.16.0.150 от SNAT веригата.
Титла: Postrouting
Публикувано от: flipz в Sep 23, 2008, 16:23
нищо не стана ...
Hruter,192.168.10.101 --- eth1,192.168.10.100 linux eth0,172.16.0.150 -- pc,172.16.0.50
целта е да си напиша: http://192.168.10.101 и да си гледам разни неща
Hruter,192.168.10.101 --- eth1,192.168.10.100 linux eth0,172.16.0.150 -- pc,172.16.0.50
целта е да си напиша: http://192.168.10.101 и да си гледам разни неща
Титла: Postrouting
Публикувано от: Gaara в Sep 23, 2008, 18:07
| Цитат (flipz @ Сеп. 23 2008,17:23) |
| нищо не стана ... Hruter,192.168.10.101 --- eth1,192.168.10.100 linux eth0,172.16.0.150 -- pc,172.16.0.50 целта е да си напиша: http://192.168.10.101 и да си гледам разни неща |
И какво точно не стана?
Какво направи?
Какви грешки ти даде?
Титла: Postrouting
Публикувано от: VladSun в Sep 23, 2008, 21:48
| Цитат (flipz @ Сеп. 23 2008,16:23) |
| нищо не стана ... Hruter,192.168.10.101 --- eth1,192.168.10.100 linux eth0,172.16.0.150 -- pc,172.16.0.50 целта е да си напиша: http://192.168.10.101 и да си гледам разни неща |
Какво направи - команди, изходи от ifconfig, route и т.н. ...
Аз като гледам, на теб ти трябва един "глупав" port-forwarding само
Титла: Postrouting
Публикувано от: flipz в Sep 23, 2008, 22:52
iptables -A INPUT -p ALL -i eth0 -s 192.168.10.101/24 -j ACCEPT
iptables -A OUTPUT -p ALL -o eth0 -d 192.168.10.101/24 -j ACCEPT
iptables -A FORWARD -p ALL -i eth0 -s 192.168.10.101/24 -j ACCEPT
iptables -A FORWARD -p ALL -o eth0 -d 192.168.10.101/24 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.10.101 -d 172.16.0.150 -j SNAT --to 192.168.10.100
ARPING 192.168.10.101 from 172.16.0.254 eth0
Unicast reply from 192.168.10.101 [00:15:17:0E:3A:AD] 4.034ms
Unicast reply from 192.168.10.101 [00:15:17:0E:3A:AD] 0.595ms
Sent 2 probes (1 broadcast(s))
Received 2 response(s)
реших и така да тествам:
root@free:~# iptables -t nat -A PREROUTING -p tcp -i eth0 -s 192.168.10.101 -d 172.16.0.150 -j REDIRECT --to 192.168.10.100
iptables v1.4.0: IP address not permitted
iptables -A OUTPUT -p ALL -o eth0 -d 192.168.10.101/24 -j ACCEPT
iptables -A FORWARD -p ALL -i eth0 -s 192.168.10.101/24 -j ACCEPT
iptables -A FORWARD -p ALL -o eth0 -d 192.168.10.101/24 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.10.101 -d 172.16.0.150 -j SNAT --to 192.168.10.100
ARPING 192.168.10.101 from 172.16.0.254 eth0
Unicast reply from 192.168.10.101 [00:15:17:0E:3A:AD] 4.034ms
Unicast reply from 192.168.10.101 [00:15:17:0E:3A:AD] 0.595ms
Sent 2 probes (1 broadcast(s))
Received 2 response(s)
реших и така да тествам:
root@free:~# iptables -t nat -A PREROUTING -p tcp -i eth0 -s 192.168.10.101 -d 172.16.0.150 -j REDIRECT --to 192.168.10.100
iptables v1.4.0: IP address not permitted
Титла: Postrouting
Публикувано от: VladSun в Sep 23, 2008, 23:53
REDIRECT?!?
man iptables
трябва ти DNAT
man iptables
трябва ти DNAT
Титла: Postrouting
Публикувано от: flipz в Sep 24, 2008, 11:32
както и да е нищо не се получава и с DNAT .. объркал съм като съм писал тук и командата ...
може ли поне да ми кажете някои remote manager за линукс
имаше един vnc ..
може ли поне да ми кажете някои remote manager за линукс
имаше един vnc ..
Титла: Postrouting
Публикувано от: Gaara в Sep 24, 2008, 12:08
Силно ти препоръчвам FreeNX. Ползва 22 порт и отваряйки този порт имаш хем ssh достъм, хем и GUI връзка
Титла: Postrouting
Публикувано от: VladSun в Sep 24, 2008, 12:23
С толкова много теми за port forwarding, дори и само в този сайт, как не можа да го направиш?
Помъчи се малко - пробвай, пусни по един tcpdump на двата интерфейса и виж къде ти е проблемът.
...
И истина е - пускай по-съдържателние обяснения за това, което "не работи". Иначе шансът да ти помогнем клони към нула
Помъчи се малко - пробвай, пусни по един tcpdump на двата интерфейса и виж къде ти е проблемът.
...
И истина е - пускай по-съдържателние обяснения за това, което "не работи". Иначе шансът да ти помогнем клони към нула
Титла: Postrouting
Публикувано от: bnight в Sep 24, 2008, 12:32
| Цитат (flipz @ Сеп. 23 2008,17:23) |
| нищо не стана ... Hruter,192.168.10.101 --- eth1,192.168.10.100 linux eth0,172.16.0.150 -- pc,172.16.0.50 целта е да си напиша: http://192.168.10.101 и да си гледам разни неща |
До колкото разбирам имаш следната конфигурация Router с интерфейс:
eth1: 192.168.10.100 i eth0 172.16.0.150 и ти трябва мрежата 172.16.0.0/24 да вижда 192.168.10.0/24 ?
Ако е така ето ти един бърз начин:
# Disable IP forwarding (Only Disable if the host is not multi-homed)
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 172.16.0.0/24 -j MASQUERADE
С това би следвало да стане. Мисля че няма какво повече да се прави за да работи нормално.
Поздрави.
Титла: Postrouting
Публикувано от: flipz в Sep 26, 2008, 21:21
благодаря, но не това е целта .. написал съм няколко пъти какво искам да се случи.
192.168.10.101|hardware router| --> |192.168.10.100 eth1 linux slack eth0172.16.0.254| --> |172.16.0.150 pc|
исках да мога да виждам устройството което в случея е хардуерен рутерс адрес 192.168.10.101, от пц-то с ип:172.16.0.150
т.е. имам един хардуерен рутер=192.168.10.101, който е вкл. в етх1 на линукс рутерчето с ип етх1=192.168.10.100 на линукса .. а на етх0=172.16.0.100 е включен лан към клиентското пц=172.16.0.150 от което искам да отворя рутера през ввв
така и не стана по нито един от описаните начини.
след като не стана си сложих vncserver ... и като се наложи така ще влизам.
192.168.10.101|hardware router| --> |192.168.10.100 eth1 linux slack eth0172.16.0.254| --> |172.16.0.150 pc|
исках да мога да виждам устройството което в случея е хардуерен рутерс адрес 192.168.10.101, от пц-то с ип:172.16.0.150
т.е. имам един хардуерен рутер=192.168.10.101, който е вкл. в етх1 на линукс рутерчето с ип етх1=192.168.10.100 на линукса .. а на етх0=172.16.0.100 е включен лан към клиентското пц=172.16.0.150 от което искам да отворя рутера през ввв
така и не стана по нито един от описаните начини.
след като не стана си сложих vncserver ... и като се наложи така ще влизам.
Титла: Postrouting
Публикувано от: dvbb в Sep 26, 2008, 22:20
route