|
Jazyk |
Výber jazykovej mutácie:
|
|
|
|
The time now is 15.06.2024 - 23:58 |
|
|
|
|
Author |
Message |
|
Post subject: routovanie
Posted: 19.02.2011 - 19:45 #88667
|
|
Basic
Joined: Apr 14, 2004
Posts: 92
|
|
zdravim,
mam pc, ma 3 iface, 2 in, 1 out
iface 1: 10.10.10.1/24
iface 2: 10.20.20.1/24
eth0 : 10.30.30.2/24
default gw je 10.30.30.1
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 10.30.30.2
tato verzia funguje
avsak pridam virtualny ext iface
ifconfig eth0:1 10.40.40.2 netmask 255.255.255.0 broadcast 10.40.40.255
potrebujem z rozhrania iface 1 vsetko presmerovat na eth0:1, avsak s tym, aby vystup bol 10.40.40.2, nie 10.30.30.2
skusal som
route add -net 10.40.40.0 netmask 255.255.225.0 gw 10.40.40.1
pridat pridalo, ale 10.40.40.1 nepingam
mate niekto napad???
potrebujem to na tom istom rozhrani
za kazdu radu dakujem |
|
|
|
|
|
|
Post subject: RE: routovanie
Posted: 19.02.2011 - 20:08 #88668
|
|
Majster
Joined: Feb 25, 2003
Posts: 2606
Location: BA,BB
|
|
shock: zalezi na poradi pravidiel, prvym pravidlom ( iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 10.30.30.2 ) si vsetko zNATujes na 10.30.30.2, k druhemu NATu to uz neprejde ...
Riesenie je pridat NAT pre 10.40.40.2 ako prve pravidlo, musis tiez ale zadefinovat ze toto prve pravidlo sa tyka len segmentu z eth1 v opacnom pripade si zase vsetko zNATujes na 10.40.40.2, rieseni je viac
Quote: ›
iptables -t nat -A POSTROUTING -i eth1 -o eth0 -j SNAT --to-source 10.40.40.2
alebo
Quote: ›
iptables -t nat -A POSTROUTING -o eth0 -s 10.10.10.0/24 -j SNAT --to-source 10.40.40.2
alebo
Quote: ›
iptables -t nat -A POSTROUTING -i eth1 -o eth0 -s 10.10.10.0/24 -j SNAT --to-source 10.40.40.2
a dalsie pravidlo v poradi bude to povodne pravidlo
Quote: ›
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 10.30.30.2
Routu co si pridal vyhod, nie je potrebna. No ak vsak budes chciet routovat segment 10.10.10.0/24 cez 10.40.40.1 budes potrebovat rozbehat tzv policy based routing. A nezabudni pred pridavanim novych pravidiel tie stare zmazat
Quote: ›
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z
|
|
|
|
|
|
|
Post subject: RE: routovanie
Posted: 20.02.2011 - 00:20 #88671
|
|
Basic
Joined: Apr 14, 2004
Posts: 92
|
|
problem nie je s natom, pravidlo co som pisal, je uplne posledne, predtym pridavam cez -I na 10.40.40.2, nexcel som to rozpisovat, ale vsetko co si pisal mam.
problem je, ze z danej masiny, ktora natuje sa nedopingam na 10.40.40.1, ping sam na seba mam 10.40.40.2 ale na branu nie |
|
|
|
|
|
|
Post subject: RE: routovanie
Posted: 20.02.2011 - 13:30 #88674
|
|
Basic
Joined: Sep 02, 2009
Posts: 433
|
|
Príklad
reťaz FORWARD
iptables -A FORWARD -i eth0 -o eth1.0 -s 192.168.254.0/24 -j ACCEPT
iptables -A FORWARD -i eth1.0 -o eth0 -s ! 192.168.254.0/24 -m state --state ESTABLISHED -j ACCEPT
reťaz POSTROUTING
iptalbles -t nat -A POSTROUTING -o eth1.0 -s 192.168.254.0/24 -j SNAT --to-source 192.168.210.1
Dúfam, že to pomohlo. |
|
|
|
|
|
|
Post subject: RE: routovanie
Posted: 20.02.2011 - 23:50 #88676
|
|
Majster
Joined: Okt 21, 2003
Posts: 4247
|
|
shock wrote: ›problem nie je s natom, pravidlo co som pisal, je uplne posledne, predtym pridavam cez -I na 10.40.40.2, nexcel som to rozpisovat, ale vsetko co si pisal mam.
problem je, ze z danej masiny, ktora natuje sa nedopingam na 10.40.40.1, ping sam na seba mam 10.40.40.2 ale na branu nie
a nie je to nejake divne? ak dobre rozumiem tak na eth0 mas pripojenu nejaku LAN siet v ktorej lezi aj 10.30.30.1 aj 10.40.40.1, pricom to su dve default gatwaye. zeby dvaja provideri? ak su to dvaja rozni provideri tak to takto jednoducho nepojde. robi sa to viacerymi routovacimi tabulkami, markovanim paketov a hadzanim do jednej z tych dvoch routovacich tabuliek. ma to viac zaludnosti, nic trivialne. vysvetli radsej o co ti vlastne ide, co potrebujes dosiahnut / vyriesit. |
|
|
|
|
|
|
Post subject: RE: routovanie
Posted: 21.02.2011 - 15:49 #88679
|
|
Basic
Joined: Apr 14, 2004
Posts: 92
|
|
pixall wrote: › shock wrote: ›problem nie je s natom, pravidlo co som pisal, je uplne posledne, predtym pridavam cez -I na 10.40.40.2, nexcel som to rozpisovat, ale vsetko co si pisal mam.
problem je, ze z danej masiny, ktora natuje sa nedopingam na 10.40.40.1, ping sam na seba mam 10.40.40.2 ale na branu nie
a nie je to nejake divne? ak dobre rozumiem tak na eth0 mas pripojenu nejaku LAN siet v ktorej lezi aj 10.30.30.1 aj 10.40.40.1, pricom to su dve default gatwaye. zeby dvaja provideri? ak su to dvaja rozni provideri tak to takto jednoducho nepojde. robi sa to viacerymi routovacimi tabulkami, markovanim paketov a hadzanim do jednej z tych dvoch routovacich tabuliek. ma to viac zaludnosti, nic trivialne. vysvetli radsej o co ti vlastne ide, co potrebujes dosiahnut / vyriesit.
skoro si sa trafil, az na to ze nie dvaja providery , v jednom bode potrebujem aby jedna siet isla cez jeden spoj a druha siet cez druhy spoj, za touto masinou je mikrotik (ktory markuje route, podla toho ktorym spojom ma ist prevadzka). bohuzial, kabel na vystupe mam len jeden a v pc nemam miesto pre dalsiu sietovku, aby boli na 2ox roznyx ifacox
toto som poriesil snatom, ale dosledok je ze
vznika druhy problem v mikrotiku.
ether1 je vystup na prvy spoj
bridge : ether2,3
na ether3 je vystup na druhy spoj
vstup z toho pc je na porte 2
konfiguracia mikrotiku
bridge1 - ipcky 10.30.30.1/24, 10.40.40.1/24
ether1 - 10.50.50.1/24
ip firewall
mangle
chain - prerouting
src. address - 10.40.40.0/24
in. interface - bridge1
action - mark routing
new routing mark - xxx
toto nasledujuce praviddlo neviem donutit, aby z bridgu reagovalo na subnet, 10.40.40.0/24
NAT
chain - srcnat
src. address - 10.40.40.0/24
out interface - ether1
action - masquerade
ip route
gateway 10.30.30.1
gateway 10.50.50.1, routing mark xxx
pokial nedam ether3 do bridgu a zapnem maskaradu aj na druhu podsiet je to ok, avsak ked to xcem, aby transparentne islo cez bridge a druhe cez nat, nereaguje |
|
|
|
|
|
|
Post subject: RE: routovanie
Posted: 21.02.2011 - 17:49 #88681
|
|
Majster
Joined: Okt 21, 2003
Posts: 4247
|
|
shock wrote: ›skoro si sa trafil, az na to ze nie dvaja providery , v jednom bode potrebujem aby jedna siet isla cez jeden spoj a druha siet cez druhy spoj, za touto masinou je mikrotik (ktory markuje route, podla toho ktorym spojom ma ist prevadzka). bohuzial, kabel na vystupe mam len jeden a v pc nemam miesto pre dalsiu sietovku, aby boli na 2ox roznyx ifacox
ked chces routovat jeden traffic jednou linkou a druhu trasu druhou, tak ti netreba NAT, iba jednoduche route x.x.x.x via y.y.y.y a route w.w.w.w via z.z.z.z. pripadne ak to ma byt symetricky tak na jednej strane bude treba tento routing na na druhej strane bude treba source routing (nie podla cielovej ale podla zdrojovej IPcky).
ked mas problem s tym ze dalsiu sietovku do stroja nevies dat, mas tiez moznost nahodit toto rozhranie ako 802.1q trunk, nahodit tam dve VLANy, a vybehnut s nimi do switcha ktory ich rozdeli na dva access porty. takto sa ti to v zariadeni bude javit ako dva samostatne rozhrania/sietovky (vlan10 a vlan20) a pritom to vylezie fyzicky jednou sietovkou otagovane prislusnym VLAN tagom, a nasledny switch to rozbije na dva samostatne porty. odporucal by som vidiet niektore z nasich routrov ktore maju takto niekolko stovak rozhrani (niekolko desiatok VLAN a k tomu niekolko sto pppoe rozhrani. router s jednou jedinou sietovkou nie je problem, ked podporuje VLANy tak jedna sietovka uplne staci.)
to NATkovanie ktore opisujes je take male sialenostvo, mozno to ma svoju skrytu logiku ktoru neviem takto narychlo pochopit, pravdu povediac stale nerozumiem o co sa basnik snazi. ak ide o smerovanie paketov teda routing, tak routing sa robi routovanim, nie NATovanim. bohuzial evidujem ze niektori provideri s 3000+ usermi stale poriadne neovladaju zaklady networkingu a myslia si ze verejnu IP posuniem cez siet k userovi cez 5 routrov piatimi natkami, dufam ze sa nesnazis o nieco podobne |
|
|
|
|
|
|
Post subject: RE: routovanie
Posted: 24.02.2011 - 17:44 #88763
|
|
Basic
Joined: Apr 14, 2004
Posts: 92
|
|
ked chces routovat jeden traffic jednou linkou a druhu trasu druhou, tak ti netreba NAT, iba jednoduche route x.x.x.x via y.y.y.y a route w.w.w.w via z.z.z.z. pripadne ak to ma byt symetricky tak na jednej strane bude treba tento routing na na druhej strane bude treba source routing (nie podla cielovej ale podla zdrojovej IPcky).
ked mas problem s tym ze dalsiu sietovku do stroja nevies dat, mas tiez moznost nahodit toto rozhranie ako 802.1q trunk, nahodit tam dve VLANy, a vybehnut s nimi do switcha ktory ich rozdeli na dva access porty. takto sa ti to v zariadeni bude javit ako dva samostatne rozhrania/sietovky (vlan10 a vlan20) a pritom to vylezie fyzicky jednou sietovkou otagovane prislusnym VLAN tagom, a nasledny switch to rozbije na dva samostatne porty. odporucal by som vidiet niektore z nasich routrov ktore maju takto niekolko stovak rozhrani (niekolko desiatok VLAN a k tomu niekolko sto pppoe rozhrani. router s jednou jedinou sietovkou nie je problem, ked podporuje VLANy tak jedna sietovka uplne staci.)
to NATkovanie ktore opisujes je take male sialenostvo, mozno to ma svoju skrytu logiku ktoru neviem takto narychlo pochopit, pravdu povediac stale nerozumiem o co sa basnik snazi. ak ide o smerovanie paketov teda routing, tak routing sa robi routovanim, nie NATovanim. bohuzial evidujem ze niektori provideri s 3000+ usermi stale poriadne neovladaju zaklady networkingu a myslia si ze verejnu IP posuniem cez siet k userovi cez 5 routrov piatimi natkami, dufam ze sa nesnazis o nieco podobne [/quote]
nesnazim sa takze vlan nahodena jedna, dufam ze staci
situacia
pc: ma siete
10.30.30.2/24 VLAN1
10.40.40.3/24 bez VLAN
default gw 10.40.40.1
mikrotik
eth1 vystup1 nad nim je VLAN2 ma ist 10.50.50.0/24
eth2 vstup
eth3 je vystup2 ma ist 10.40.40.0/24
eth1 10.50.50.2/24
eth2, 3 su v bridge1 10.40.40.2/24
nad bridge1 je VLAN1 10.30.30.1/24
siet 10.40.40.0/24 ide ok
siet 10.30.30.0/24 potrebujem aby isla cez NAT na eth1
nedari sa mi to spojazdnit
ps: predtym som skusal
eth1, 2, 3 bridge1 10.40.40.2/24
nad bridge VLAN1 10.30.30.2/24
na eth1 bolo zapojene zariadenie s VLAN1 10.30.30.1
avsak k nemu som sa nedopingal
nejaky napad? |
|
|
|
|
|
|
Post subject: RE: routovanie
Posted: 24.02.2011 - 22:19 #88768
|
|
Basic
Joined: Sep 02, 2009
Posts: 433
|
|
Mohol by si sem dať nejaký diagram ako to máš zapojené, obrázok by možno pomohol. Môžeš na to použiť program Network Notepad. |
|
|
|
|
|
|
All times are GMT
|
|
|
|
|
Powered by PNphpBB2 © 2003-2005 The PNphpBB Group Credits |
|
|
|