Тема: Postrouting (Прочетена 3542 пъти)

flipz · « -: Sep 22, 2008, 18:04 »

На една машинка нещо аз ли се забудалих не можах да направя коректно следното:
hardware router --> eth1 linux slack eth0 --> www/pc

т.е. имам един хардуерен рутер, който е вкл. в етх1 на линукс рутерчето и е мрежа 192.168.10.101 на линукса етх1 е 192.168.10.100 .. а на етх0 172.16.0.100 клиентското пц от което искам да отворя рутера е 172.16.0.150

та как да го реализирам ..

VladSun · « **Отговор #1 -:** Sep 22, 2008, 18:11 »

Трябва просто да не правиш NAT за тази връзка (HW router <-> PC)

'>
И, ако случайно си забранил "излизането" на частни ИП адреси в Линукс рутера - да го разрешиш.
ПП: и да си оправиш routing таблицата на клиентското PC

flipz · « **Отговор #2 -:** Sep 22, 2008, 19:53 »

това за сега не ми помогна много ... аз днес пробвах следното.
разреших си input/output вдигнах си ип на етх0 което е в 192.168.10. мрежа и дадох и на него input/output/forward accept
пуснах си през squid и ми го отвори .. но неможах да се логна в устройството. а когат овлизам директо от линукс-а си ме пуска. знам, че си направих малко кошия, но за теста .. + че нещо греша някъде.

ако някой има желание и време да напише как точно трябва да стане.

VladSun · « **Отговор #3 -:** Sep 23, 2008, 13:33 »

Ем... да поразсъждаваме малко.
В момента казваш, че имаш:

Примерен код

   (192.168.10.100)(172.16.0.100)
   HWR ----------- SWR --+----------- PC
   (192.168.10.101) | (172.16.0.150)
   |
   |
   + ----- (ISP) --- Internet
   (172.16.0.X)

Ако това е вярно

'>, то в SWR правиш SNAT за мрежа 192.168.10.0/24 към 172.16.0.100.
Примемам, че и gateway-а (ISP) даден ти от Интернет доставчика ти е 172.16.0.X. Т.е. на SWR и PC default gateway е това IP.

Тъй като PC знае routing-a единствено за собствената си мрежа (172.16.0.0/24 да кажем), то всички връзки с dst IP извън тази мрежа ги праща към ISP.
За да не праща натам и пакетите за мрежа 192.168.10.0/24 трябва изрично да укажеш на PC, че пътят за тази мрежа минава през SWR.

Трябва да разрешиш във FORWARD веригата 192.168.10.101.

За по-долното не съм много сигурен! Пробвай само с казаното до тук.

-----------------------------------------------

Дори и след като си оправил routing таблицата на PC, пак няма да имаш връзка до HWR, защото пакетите от HWR минавайки през SWR ще влязат в SNAT правилото и ще се смени src IP-то на пакета. Т.е. трябва да изключиш случая src IP 192.168.10.101, dst IP 172.16.0.150 от SNAT веригата.

flipz · « **Отговор #4 -:** Sep 23, 2008, 16:23 »

нищо не стана ...

Hruter,192.168.10.101 --- eth1,192.168.10.100 linux eth0,172.16.0.150 -- pc,172.16.0.50

целта е да си напиша: http://192.168.10.101 и да си гледам разни неща

Gaara · « **Отговор #5 -:** Sep 23, 2008, 18:07 »

Цитат (flipz @ Сеп. 23 2008,17:23)

нищо не стана ...

Hruter,192.168.10.101 --- eth1,192.168.10.100 linux eth0,172.16.0.150 -- pc,172.16.0.50

целта е да си напиша: http://192.168.10.101 и да си гледам разни неща

И какво точно не стана?
Какво направи?
Какви грешки ти даде?

VladSun · « **Отговор #6 -:** Sep 23, 2008, 21:48 »

Цитат (flipz @ Сеп. 23 2008,16:23)

нищо не стана ...

Hruter,192.168.10.101 --- eth1,192.168.10.100 linux eth0,172.16.0.150 -- pc,172.16.0.50

целта е да си напиша: http://192.168.10.101 и да си гледам разни неща

Какво направи - команди, изходи от ifconfig, route и т.н. ...

Аз като гледам, на теб ти трябва един "глупав" port-forwarding само

'>

flipz · « **Отговор #7 -:** Sep 23, 2008, 22:52 »

iptables -A INPUT -p ALL -i eth0 -s 192.168.10.101/24 -j ACCEPT
iptables -A OUTPUT -p ALL -o eth0 -d 192.168.10.101/24 -j ACCEPT
iptables -A FORWARD -p ALL -i eth0 -s 192.168.10.101/24 -j ACCEPT
iptables -A FORWARD -p ALL -o eth0 -d 192.168.10.101/24 -j ACCEPT

iptables -t nat -A POSTROUTING -s 192.168.10.101 -d 172.16.0.150 -j SNAT --to 192.168.10.100

ARPING 192.168.10.101 from 172.16.0.254 eth0
Unicast reply from 192.168.10.101 [00:15:17:0E:3A:AD] 4.034ms
Unicast reply from 192.168.10.101 [00:15:17:0E:3A:AD] 0.595ms
Sent 2 probes (1 broadcast(s))
Received 2 response(s)

реших и така да тествам:
root@free:~# iptables -t nat -A PREROUTING -p tcp -i eth0 -s 192.168.10.101 -d 172.16.0.150 -j REDIRECT --to 192.168.10.100
iptables v1.4.0: IP address not permitted

VladSun · « **Отговор #8 -:** Sep 23, 2008, 23:53 »

REDIRECT?!?

man iptables

'>

трябва ти DNAT

flipz · « **Отговор #9 -:** Sep 24, 2008, 11:32 »

както и да е нищо не се получава и с DNAT .. объркал съм като съм писал тук и командата ...

може ли поне да ми кажете някои remote manager за линукс
имаше един vnc ..

Gaara · « **Отговор #10 -:** Sep 24, 2008, 12:08 »

Силно ти препоръчвам FreeNX. Ползва 22 порт и отваряйки този порт имаш хем ssh достъм, хем и GUI връзка

'>

VladSun · « **Отговор #11 -:** Sep 24, 2008, 12:23 »

С толкова много теми за port forwarding, дори и само в този сайт, как не можа да го направиш?

Помъчи се малко - пробвай, пусни по един tcpdump на двата интерфейса и виж къде ти е проблемът.

...

И истина е - пускай по-съдържателние обяснения за това, което "не работи". Иначе шансът да ти помогнем клони към нула

'>

bnight · « **Отговор #12 -:** Sep 24, 2008, 12:32 »

Цитат (flipz @ Сеп. 23 2008,17:23)

нищо не стана ...

Hruter,192.168.10.101 --- eth1,192.168.10.100 linux eth0,172.16.0.150 -- pc,172.16.0.50

целта е да си напиша: http://192.168.10.101 и да си гледам разни неща

До колкото разбирам имаш следната конфигурация Router с интерфейс:

eth1: 192.168.10.100 i eth0 172.16.0.150 и ти трябва мрежата 172.16.0.0/24 да вижда 192.168.10.0/24 ?

Ако е така ето ти един бърз начин:

# Disable IP forwarding (Only Disable if the host is not multi-homed)
echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -s 172.16.0.0/24 -j MASQUERADE

С това би следвало да стане. Мисля че няма какво повече да се прави за да работи нормално.

Поздрави.

flipz · « **Отговор #13 -:** Sep 26, 2008, 21:21 »

благодаря, но не това е целта .. написал съм няколко пъти какво искам да се случи.

192.168.10.101|hardware router| --> |192.168.10.100 eth1 linux slack eth0172.16.0.254| --> |172.16.0.150 pc|

исках да мога да виждам устройството което в случея е хардуерен рутерс адрес 192.168.10.101, от пц-то с ип:172.16.0.150

т.е. имам един хардуерен рутер=192.168.10.101, който е вкл. в етх1 на линукс рутерчето с ип етх1=192.168.10.100 на линукса .. а на етх0=172.16.0.100 е включен лан към клиентското пц=172.16.0.150 от което искам да отворя рутера през ввв

така и не стана по нито един от описаните начини.

след като не стана си сложих vncserver ... и като се наложи така ще влизам.

dvbb · « **Отговор #14 -:** Sep 26, 2008, 22:20 »

route

Автор Тема: Postrouting (Прочетена 3542 пъти)