firewall iptables route, допоможіть з роутером Опции

[vit-muzika]

Help!!!!!!! :dntknw: ситуація така :мережа 192.168.1.0/25 ----- роутер (eth1-192.168.1.151/25 eth0 192.168.1.150/25)---- шлюз 192.168.1.1/25 всі пакети які виходять з мережі ідуть на 1 інтерфейс згодом проходять firewall виходять на інтерфейс 0 і з нього повинні через шлюз на якому крутиться NAT виходити в великий і злий інет :angry: іптаблі дозволяють все з шлюза пінгається інет а от з мережі пакети проходять тільки до 0 інтерфейсу тобто шлюз вже не пінгається далі роутер їх не пропускає в інет :scenic: :scenic: :scenic: хто зустрічався з такою проблемою будь-ласка допоможіть

[rcon]

Ггг может NAT не в ту сторону? А вообще man чудесная вещь, правда на английском ))

[vit-muzika]

Ггг может NAT не в ту сторону? А вообще man чудесная вещь, правда на английском ))

:agree: проблема не з Natом. взагалі трасероут показує що пакети зупиняються на eth0 :angry:

[Crab]

:agree: проблема не з Natом. взагалі трасероут показує що пакети зупиняються на eth0 :angry:

1) А Ви впевнені, що правильно написали ip-адреси eth1 та шлюза у Вашому повідомленні ?
2) З ройтера інтернет працюе ? (чи правильно встановлено маршрут по замовчуванню?)
3) iptables дозволяє все в обох напрямках ?
4) що показуе сніффер на роутері?
5) чи пінгуеться локальна мережа зі шлюза ?
6) якщо без firewall'а, то все працюе ?

[vit-muzika]

1) А Ви впевнені, що правильно написали ip-адреси eth1 та шлюза у Вашому повідомленні ?
2) З ройтера інтернет працюе ? (чи правильно встановлено маршрут по замовчуванню?)
3) iptables дозволяє все в обох напрямках ?
4) що показуе сніффер на роутері?
5) чи пінгуеться локальна мережа зі шлюза ?
6) якщо без firewall'а, то все працюе ?

1.правильно
2.з роутера інет працює дефолтний маршрут встановлений правильно
3.іптаблі на повному аццепті
4.тспдамп показує що пакет проходить через 1інтерфейс і зразу відсилається іцмп відповідь на джерело шо інтерфейс 0 не доступний
5.локалка пінгається
6.без фейрвола ситуація не міняється

і взагалі чи може route правильно розрулити дану ситуацію?
думаю шо трабла в тому що локалка і роутер і шлюз всі вони з однієї мережі і роут не розуміє шо від нього вимагається тобто інтерфейс1 і інт0 з однієї мережі і взагалі для чого їх роутити? то в принципі логічно аля може мені хтось підкаже як вийти з цієї ситуації? загальна задача полягає в тому щоб інет з/на шлюз пропускати через машину на якій буде стояти фаєр але так шоб всі іп з локалки доходили до шлюза під своїми іп а дальше шлюз знає що з ними робити

[Crab]

Якщо на ройтері лише firewall (нема NAT), то адреса джерела в пакетах не буде змінена після маршрутизації.
Тому оптимальний варіант - можна зробити так: мережа 192.168.1.0/25 ----- роутер (eth1- 192.168.1.1/25 eth0 192.168.1.150/25)---- шлюз 192.168.1.151/25
У мережі маршрут за замовчуванням - 192.168.1.1, у ройтера - 192.168.1.151, на шлюзі додати статичний маршрут на мережу 192.168.1.0/25 через ройтер.

Пакети з мережі пройдуть через ( мережа - [eth1 - firewall - eth0] - шлюз ) та потраплять на шлюз з тими ж самими адресами джерела (з мережі 192.168.1.0/25), і все буде нормально.

Або, якщо з якоїсь причини шлюзу потрібна адреса саме 192.168.1.1, можна використати компьютер який зараз працює як ройтер, у режимі моста (bridge mode). Тоді шлюз буде в тій же самій мережі, що і компьютери з 192.168.1.0/25

[rcon]

ройтері???

Простите за полемику, но если по-английски это "router" (образование от route [ru:t]), а по-русски звучит как "маршрутизатор" (что почти отражает семантическое значение термина), ну или сленговые рутер и роутер (что при нашем кривом произношении простительно), то откуда в украинском взялась буква Й мне совершенно не понятно. Вот. :offtopic:

[vit-muzika]

ройтері???

Простите за полемику, но если по-английски это "router" (образование от route [ru:t]), а по-русски звучит как "маршрутизатор" (что почти отражает семантическое значение термина), ну или сленговые рутер и роутер (что при нашем кривом произношении простительно), то откуда в украинском взялась буква Й мне совершенно не понятно. Вот. :offtopic:

ШАНОВНИЙ а хіба не всеодно як називати речі????????? основне (на мою думку) те що всі прекрасно розуміють про що іде мова. і взагалі я цю тему створюва щоб вирішити нагальну проблему яка на даний час існує а не для того шоб посперечатися як нам правильно вимовляти і якою мовою говорити :agree: :flood: мені зовсім не має значення на якій мові мені дадуть цінну пораду будь то укр чи рос єзик чи eng і надалі попросив би таку хрень не писати. ти ж ніби модер а фулдиш форум вибач за різке висловлювання

Проехали, разницы-то никакой, но уважать язык на котором пытаешься общаться стоит!

Якщо на ройтері лише firewall (нема NAT), то адреса джерела в пакетах не буде змінена після маршрутизації.
Тому оптимальний варіант - можна зробити так: мережа 192.168.1.0/25 ----- роутер (eth1- 192.168.1.1/25 eth0 192.168.1.150/25)---- шлюз 192.168.1.151/25
У мережі маршрут за замовчуванням - 192.168.1.1, у ройтера - 192.168.1.151, на шлюзі додати статичний маршрут на мережу 192.168.1.0/25 через ройтер.

Пакети з мережі пройдуть через ( мережа - [eth1 - firewall - eth0] - шлюз ) та потраплять на шлюз з тими ж самими адресами джерела (з мережі 192.168.1.0/25), і все буде нормально.

Або, якщо з якоїсь причини шлюзу потрібна адреса саме 192.168.1.1, можна використати компьютер який зараз працює як ройтер, у режимі моста (bridge mode). Тоді шлюз буде в тій же самій мережі, що і компьютери з 192.168.1.0/25

ок то все правильно. Але пакети всеодно не проходять. і я вже починаю сумніватись в двох речах
1. що це взагалі реально зробити через route
вообще отношения NAT и route это разные вещи
2. що це взагалі вирішується на рівні маршрутизації
если всё так плохо, то не мешало-бы сначала снести отуда IPTables, и посмотреть ходят ли пакеты без его участия

Сообщение отредактировал rcon - May 19 2006, 11:44

[rcon]

Кстати никак не пойму, как вы собираетесь выползти в интернет через МАРШРУТИЗАЦИЮ, использую ЧАСТНЫЙ диапазон адресов?. Здесь будет работать только NAT. Который при условии прямоты рук и нормально сконфигурированного брандмауэра настраивается одной строчкой.

Сообщение отредактировал rcon - May 19 2006, 11:52

[vit-muzika]

Кстати никак не пойму, как вы собираетесь выползти в интернет через МАРШРУТИЗАЦИЮ, использую ЧАСТНЫЙ диапазон адресов?. Здесь будет работать только NAT. Который при условии прямоты рук и нормально сконфигурированного брандмауэра настраивается одной строчкой.

в мене натує то все залізяка ціско(шлюз). та й проблема не в наті

[vit-muzika]

если всё так плохо, то не мешало-бы сначала снести отуда IPTables, и посмотреть ходят ли пакеты без его участия

дивись вище

2.з роутера інет працює дефолтний маршрут встановлений правильно
3.іптаблі на повному аццепті
4.тспдамп показує що пакет проходить через 1інтерфейс і зразу відсилається іцмп відповідь на джерело шо інтерфейс 0 не доступний
5.локалка пінгається
6.без фейрвола ситуація не міняється

[rcon]

Чё-т не понял.. Зачем к циске ещё что-то крутить? Может достаточно сунуть всех в свитч? Или хочется контроля с извращениями?

[vit-muzika]

Чё-т не понял.. Зачем к циске ещё что-то крутить? Может достаточно сунуть всех в свитч? Или хочется контроля с извращениями?

а ти думаєш що ціска то панацея від всіх бід?????

1700 серія ще багато чого не може а на кращу грошей не виділять
але виділили старенький компутерик і на тобі вирішуй проблему захисту

[Crab]

А покажіть, будь-ласка, таблицю маршрутів на роутері...
Та точний текст icmp-повідомлення (або вивід tcpdump)

[Lucifer]

Help!!!!!!! :dntknw: ситуація така :мережа 192.168.1.0/25 ----- роутер (eth1-192.168.1.151/25 eth0 192.168.1.150/25)---- шлюз 192.168.1.1/25 всі пакети які виходять з мережі ідуть на 1 інтерфейс згодом проходять firewall виходять на інтерфейс 0 і з нього повинні через шлюз на якому крутиться NAT виходити в великий і злий інет :angry: іптаблі дозволяють все з шлюза пінгається інет а от з мережі пакети проходять тільки до 0 інтерфейсу тобто шлюз вже не пінгається далі роутер їх не пропускає в інет :scenic: :scenic: :scenic: хто зустрічався з такою проблемою будь-ласка допоможіть

А физически 1-й и 0-й интнрфейсы в одном сегменте, или в разных?

[vit-muzika]

А покажіть, будь-ласка, таблицю маршрутів на роутері...
Та точний текст icmp-повідомлення (або вивід tcpdump)

мені довелося поміняти повністю всі параметри мережі( були свої нюанси) і тепер мережа 10,24,14,128/25 етх1 10,24,14,151 етх0 10,24,14,150 шлюз ціско 10,24,14,129


от що показує route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.24.14.133 * 255.255.255.255 UH 0 0 0 eth1
10.24.14.128 * 255.255.255.128 U 0 0 0 eth0
10.24.14.128 * 255.255.255.128 U 0 0 0 eth1
default 10.24.14.129 0.0.0.0 UG 0 0 0 eth0
це правило довелось додати тому що роутер не хотів бачити навіть моєї машини
10.24.14.133 * 255.255.255.255 UH 0 0 0 eth1

[vit-muzika]

А покажіть, будь-ласка, таблицю маршрутів на роутері...
Та точний текст icmp-повідомлення (або вивід tcpdump)

тут я викладу результати тспдамп для етх1 та етх0
це все я взяв при тому що пробував з своєї машини зайти на цей форум
і ще один файл виложу з показом того як з машини в мережі пінгуються різні джерела
10,34,15,2 і 10,10,1,2 це мої днс серваки ------ тобто якшо днс пінгається то це означає що є вихід в інет

[vit-muzika]

ось виложив файли
правда адміністрація сайту дозволяє виложувати *.txt файли
ну нічого подвійне розширення то не біда
і хай модер не подумає випадково шо я якусь погану річ залив  print_desktop.doc.txt ( 123кб ) Кол-во скачиваний: 14
 tcpdump_eth0.txt ( 9.39кб ) Кол-во скачиваний: 16
 tcpdump_eth1.txt ( 14.58кб ) Кол-во скачиваний: 14

А физически 1-й и 0-й интнрфейсы в одном сегменте, или в разных?

якщо чесно то не зрозумів запитання
а ситуація банальна --- роутер має 2 інтерфейси які належать до однієї мережі
і питання в тому як пропустить весь трафік через такий роутер
eth0 10,24,14,150
eth110,24,14,151
lan10,24,14,128/25
gw10,24,14,129

[rcon]

а ситуація банальна --- роутер має 2 інтерфейси які належать до однієї мережі
і питання в тому як пропустить весь трафік через такий роутер
eth0 10,24,14,150
eth110,24,14,151
lan10,24,14,128/25
gw10,24,14,129

Если они физически находятся в одной сети, то, для того, чтобы работал роутинг они должны принадлежать к разным ПОДСЕТЯМ.

[vit-muzika]

а ситуація банальна --- роутер має 2 інтерфейси які належать до однієї мережі
і питання в тому як пропустить весь трафік через такий роутер
eth0 10,24,14,150
eth110,24,14,151
lan10,24,14,128/25
gw10,24,14,129

Если они физически находятся в одной сети, то, для того, чтобы работал роутинг они должны принадлежать к разным ПОДСЕТЯМ.

ок а як ти мені порадиш розбити мою сітку? іп які використовуються 129-167 і взагалі шлюз повинен бути 10,24,14,129/25 то без варіанів