firewall iptables route, допоможіть з роутером |
Здравствуйте Гость [ Вход | Регистрация ] | Форум в сети 6753-й день
Шановні користувачі! Запрошуємо вас до офіційного телеграм-канала 0day Community. Тут ви зможете поспілкуватися одне з одним та дізнатися про останні новини щодо роботи ресурса, поставити запитання до адміністрації, тощо. Перейти до телеграм-канала можна відсканувавши QR-код або натиснувши на посилання: @zeroday_ua |
firewall iptables route, допоможіть з роутером |
vit-muzika |
May 12 2006, 10:27
Пост
#1
|
Благодарности: 4 Репутация: 122 Cтаршой Группа: Пользователи Сообщений: 693 С нами с: 5-May 06 |
Help!!!!!!! :dntknw: ситуація така :мережа 192.168.1.0/25 ----- роутер (eth1-192.168.1.151/25 eth0 192.168.1.150/25)---- шлюз 192.168.1.1/25 всі пакети які виходять з мережі ідуть на 1 інтерфейс згодом проходять firewall виходять на інтерфейс 0 і з нього повинні через шлюз на якому крутиться NAT виходити в великий і злий інет :angry: іптаблі дозволяють все з шлюза пінгається інет а от з мережі пакети проходять тільки до 0 інтерфейсу тобто шлюз вже не пінгається далі роутер їх не пропускає в інет :scenic: :scenic: :scenic: хто зустрічався з такою проблемою будь-ласка допоможіть
|
rcon |
May 16 2006, 10:37
Пост
#2
|
Благодарности: 14372 Репутация: 230 Защитник Microsoft :) Группа: Пользователи Сообщений: 279 С нами с: 9-March 06 |
Ггг может NAT не в ту сторону? А вообще man чудесная вещь, правда на английском ))
|
vit-muzika |
May 16 2006, 11:56
Пост
#3
|
Благодарности: 4 Репутация: 122 Cтаршой Группа: Пользователи Сообщений: 693 С нами с: 5-May 06 |
|
Crab |
May 16 2006, 22:50
Пост
#4
|
Репутация: 1 Дух Группа: Пользователи Сообщений: 11 С нами с: 22-March 06 |
:agree: проблема не з Natом. взагалі трасероут показує що пакети зупиняються на eth0 :angry: 1) А Ви впевнені, що правильно написали ip-адреси eth1 та шлюза у Вашому повідомленні ? 2) З ройтера інтернет працюе ? (чи правильно встановлено маршрут по замовчуванню?) 3) iptables дозволяє все в обох напрямках ? 4) що показуе сніффер на роутері? 5) чи пінгуеться локальна мережа зі шлюза ? 6) якщо без firewall'а, то все працюе ? |
vit-muzika |
May 17 2006, 9:01
Пост
#5
|
Благодарности: 4 Репутация: 122 Cтаршой Группа: Пользователи Сообщений: 693 С нами с: 5-May 06 |
1) А Ви впевнені, що правильно написали ip-адреси eth1 та шлюза у Вашому повідомленні ? 2) З ройтера інтернет працюе ? (чи правильно встановлено маршрут по замовчуванню?) 3) iptables дозволяє все в обох напрямках ? 4) що показуе сніффер на роутері? 5) чи пінгуеться локальна мережа зі шлюза ? 6) якщо без firewall'а, то все працюе ? 1.правильно 2.з роутера інет працює дефолтний маршрут встановлений правильно 3.іптаблі на повному аццепті 4.тспдамп показує що пакет проходить через 1інтерфейс і зразу відсилається іцмп відповідь на джерело шо інтерфейс 0 не доступний 5.локалка пінгається 6.без фейрвола ситуація не міняється і взагалі чи може route правильно розрулити дану ситуацію? думаю шо трабла в тому що локалка і роутер і шлюз всі вони з однієї мережі і роут не розуміє шо від нього вимагається тобто інтерфейс1 і інт0 з однієї мережі і взагалі для чого їх роутити? то в принципі логічно аля може мені хтось підкаже як вийти з цієї ситуації? загальна задача полягає в тому щоб інет з/на шлюз пропускати через машину на якій буде стояти фаєр але так шоб всі іп з локалки доходили до шлюза під своїми іп а дальше шлюз знає що з ними робити |
Crab |
May 18 2006, 21:26
Пост
#6
|
Репутация: 1 Дух Группа: Пользователи Сообщений: 11 С нами с: 22-March 06 |
Якщо на ройтері лише firewall (нема NAT), то адреса джерела в пакетах не буде змінена після маршрутизації.
Тому оптимальний варіант - можна зробити так: мережа 192.168.1.0/25 ----- роутер (eth1- 192.168.1.1/25 eth0 192.168.1.150/25)---- шлюз 192.168.1.151/25 У мережі маршрут за замовчуванням - 192.168.1.1, у ройтера - 192.168.1.151, на шлюзі додати статичний маршрут на мережу 192.168.1.0/25 через ройтер. Пакети з мережі пройдуть через ( мережа - [eth1 - firewall - eth0] - шлюз ) та потраплять на шлюз з тими ж самими адресами джерела (з мережі 192.168.1.0/25), і все буде нормально. Або, якщо з якоїсь причини шлюзу потрібна адреса саме 192.168.1.1, можна використати компьютер який зараз працює як ройтер, у режимі моста (bridge mode). Тоді шлюз буде в тій же самій мережі, що і компьютери з 192.168.1.0/25 |
rcon |
May 19 2006, 11:18
Пост
#7
|
Благодарности: 14372 Репутация: 230 Защитник Microsoft :) Группа: Пользователи Сообщений: 279 С нами с: 9-March 06 |
ройтері???
Простите за полемику, но если по-английски это "router" (образование от route [ru:t]), а по-русски звучит как "маршрутизатор" (что почти отражает семантическое значение термина), ну или сленговые рутер и роутер (что при нашем кривом произношении простительно), то откуда в украинском взялась буква Й мне совершенно не понятно. Вот. :offtopic: |
vit-muzika |
May 19 2006, 11:31
Пост
#8
|
Благодарности: 4 Репутация: 122 Cтаршой Группа: Пользователи Сообщений: 693 С нами с: 5-May 06 |
ройтері??? Простите за полемику, но если по-английски это "router" (образование от route [ru:t]), а по-русски звучит как "маршрутизатор" (что почти отражает семантическое значение термина), ну или сленговые рутер и роутер (что при нашем кривом произношении простительно), то откуда в украинском взялась буква Й мне совершенно не понятно. Вот. :offtopic: ШАНОВНИЙ а хіба не всеодно як називати речі????????? основне (на мою думку) те що всі прекрасно розуміють про що іде мова. і взагалі я цю тему створюва щоб вирішити нагальну проблему яка на даний час існує а не для того шоб посперечатися як нам правильно вимовляти і якою мовою говорити :agree: :flood: мені зовсім не має значення на якій мові мені дадуть цінну пораду будь то укр чи рос єзик чи eng і надалі попросив би таку хрень не писати. ти ж ніби модер а фулдиш форум вибач за різке висловлювання Проехали, разницы-то никакой, но уважать язык на котором пытаешься общаться стоит! Якщо на ройтері лише firewall (нема NAT), то адреса джерела в пакетах не буде змінена після маршрутизації. Тому оптимальний варіант - можна зробити так: мережа 192.168.1.0/25 ----- роутер (eth1- 192.168.1.1/25 eth0 192.168.1.150/25)---- шлюз 192.168.1.151/25 У мережі маршрут за замовчуванням - 192.168.1.1, у ройтера - 192.168.1.151, на шлюзі додати статичний маршрут на мережу 192.168.1.0/25 через ройтер. Пакети з мережі пройдуть через ( мережа - [eth1 - firewall - eth0] - шлюз ) та потраплять на шлюз з тими ж самими адресами джерела (з мережі 192.168.1.0/25), і все буде нормально. Або, якщо з якоїсь причини шлюзу потрібна адреса саме 192.168.1.1, можна використати компьютер який зараз працює як ройтер, у режимі моста (bridge mode). Тоді шлюз буде в тій же самій мережі, що і компьютери з 192.168.1.0/25 ок то все правильно. Але пакети всеодно не проходять. і я вже починаю сумніватись в двох речах 1. що це взагалі реально зробити через route вообще отношения NAT и route это разные вещи 2. що це взагалі вирішується на рівні маршрутизації если всё так плохо, то не мешало-бы сначала снести отуда IPTables, и посмотреть ходят ли пакеты без его участия Сообщение отредактировал rcon - May 19 2006, 11:44 |
rcon |
May 19 2006, 11:51
Пост
#9
|
Благодарности: 14372 Репутация: 230 Защитник Microsoft :) Группа: Пользователи Сообщений: 279 С нами с: 9-March 06 |
Кстати никак не пойму, как вы собираетесь выползти в интернет через МАРШРУТИЗАЦИЮ, использую ЧАСТНЫЙ диапазон адресов?. Здесь будет работать только NAT. Который при условии прямоты рук и нормально сконфигурированного брандмауэра настраивается одной строчкой.
Сообщение отредактировал rcon - May 19 2006, 11:52 |
vit-muzika |
May 19 2006, 12:26
Пост
#10
|
Благодарности: 4 Репутация: 122 Cтаршой Группа: Пользователи Сообщений: 693 С нами с: 5-May 06 |
Кстати никак не пойму, как вы собираетесь выползти в интернет через МАРШРУТИЗАЦИЮ, использую ЧАСТНЫЙ диапазон адресов?. Здесь будет работать только NAT. Который при условии прямоты рук и нормально сконфигурированного брандмауэра настраивается одной строчкой. в мене натує то все залізяка ціско(шлюз). та й проблема не в наті |
vit-muzika |
May 19 2006, 12:37
Пост
#11
|
Благодарности: 4 Репутация: 122 Cтаршой Группа: Пользователи Сообщений: 693 С нами с: 5-May 06 |
если всё так плохо, то не мешало-бы сначала снести отуда IPTables, и посмотреть ходят ли пакеты без его участия дивись вище 2.з роутера інет працює дефолтний маршрут встановлений правильно 3.іптаблі на повному аццепті 4.тспдамп показує що пакет проходить через 1інтерфейс і зразу відсилається іцмп відповідь на джерело шо інтерфейс 0 не доступний 5.локалка пінгається 6.без фейрвола ситуація не міняється |
rcon |
May 19 2006, 12:43
Пост
#12
|
Благодарности: 14372 Репутация: 230 Защитник Microsoft :) Группа: Пользователи Сообщений: 279 С нами с: 9-March 06 |
Чё-т не понял.. Зачем к циске ещё что-то крутить? Может достаточно сунуть всех в свитч? Или хочется контроля с извращениями?
|
vit-muzika |
May 19 2006, 12:56
Пост
#13
|
Благодарности: 4 Репутация: 122 Cтаршой Группа: Пользователи Сообщений: 693 С нами с: 5-May 06 |
Чё-т не понял.. Зачем к циске ещё что-то крутить? Может достаточно сунуть всех в свитч? Или хочется контроля с извращениями? а ти думаєш що ціска то панацея від всіх бід????? 1700 серія ще багато чого не може а на кращу грошей не виділять але виділили старенький компутерик і на тобі вирішуй проблему захисту |
Crab |
May 20 2006, 14:23
Пост
#14
|
Репутация: 1 Дух Группа: Пользователи Сообщений: 11 С нами с: 22-March 06 |
А покажіть, будь-ласка, таблицю маршрутів на роутері...
Та точний текст icmp-повідомлення (або вивід tcpdump) |
Lucifer |
May 22 2006, 11:01
Пост
#15
|
Репутация: 202 Старожил Группа: Пользователи Сообщений: 2 184 С нами с: 18-April 06 |
Help!!!!!!! :dntknw: ситуація така :мережа 192.168.1.0/25 ----- роутер (eth1-192.168.1.151/25 eth0 192.168.1.150/25)---- шлюз 192.168.1.1/25 всі пакети які виходять з мережі ідуть на 1 інтерфейс згодом проходять firewall виходять на інтерфейс 0 і з нього повинні через шлюз на якому крутиться NAT виходити в великий і злий інет :angry: іптаблі дозволяють все з шлюза пінгається інет а от з мережі пакети проходять тільки до 0 інтерфейсу тобто шлюз вже не пінгається далі роутер їх не пропускає в інет :scenic: :scenic: :scenic: хто зустрічався з такою проблемою будь-ласка допоможіть А физически 1-й и 0-й интнрфейсы в одном сегменте, или в разных? |
vit-muzika |
May 22 2006, 11:19
Пост
#16
|
Благодарности: 4 Репутация: 122 Cтаршой Группа: Пользователи Сообщений: 693 С нами с: 5-May 06 |
А покажіть, будь-ласка, таблицю маршрутів на роутері... Та точний текст icmp-повідомлення (або вивід tcpdump) мені довелося поміняти повністю всі параметри мережі( були свої нюанси) і тепер мережа 10,24,14,128/25 етх1 10,24,14,151 етх0 10,24,14,150 шлюз ціско 10,24,14,129 от що показує route Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 10.24.14.133 * 255.255.255.255 UH 0 0 0 eth1 10.24.14.128 * 255.255.255.128 U 0 0 0 eth0 10.24.14.128 * 255.255.255.128 U 0 0 0 eth1 default 10.24.14.129 0.0.0.0 UG 0 0 0 eth0 це правило довелось додати тому що роутер не хотів бачити навіть моєї машини 10.24.14.133 * 255.255.255.255 UH 0 0 0 eth1 |
vit-muzika |
May 22 2006, 12:43
Пост
#17
|
Благодарности: 4 Репутация: 122 Cтаршой Группа: Пользователи Сообщений: 693 С нами с: 5-May 06 |
А покажіть, будь-ласка, таблицю маршрутів на роутері... Та точний текст icmp-повідомлення (або вивід tcpdump) тут я викладу результати тспдамп для етх1 та етх0 це все я взяв при тому що пробував з своєї машини зайти на цей форум і ще один файл виложу з показом того як з машини в мережі пінгуються різні джерела 10,34,15,2 і 10,10,1,2 це мої днс серваки ------ тобто якшо днс пінгається то це означає що є вихід в інет |
vit-muzika |
May 22 2006, 13:10
Пост
#18
|
Благодарности: 4 Репутация: 122 Cтаршой Группа: Пользователи Сообщений: 693 С нами с: 5-May 06 |
ось виложив файли
правда адміністрація сайту дозволяє виложувати *.txt файли ну нічого подвійне розширення то не біда і хай модер не подумає випадково шо я якусь погану річ залив print_desktop.doc.txt ( 123кб ) Кол-во скачиваний: 14 tcpdump_eth0.txt ( 9.39кб ) Кол-во скачиваний: 16 tcpdump_eth1.txt ( 14.58кб ) Кол-во скачиваний: 14 А физически 1-й и 0-й интнрфейсы в одном сегменте, или в разных? якщо чесно то не зрозумів запитання а ситуація банальна --- роутер має 2 інтерфейси які належать до однієї мережі і питання в тому як пропустить весь трафік через такий роутер eth0 10,24,14,150 eth110,24,14,151 lan10,24,14,128/25 gw10,24,14,129 |
rcon |
May 22 2006, 15:54
Пост
#19
|
Благодарности: 14372 Репутация: 230 Защитник Microsoft :) Группа: Пользователи Сообщений: 279 С нами с: 9-March 06 |
а ситуація банальна --- роутер має 2 інтерфейси які належать до однієї мережі
і питання в тому як пропустить весь трафік через такий роутер eth0 10,24,14,150 eth110,24,14,151 lan10,24,14,128/25 gw10,24,14,129 Если они физически находятся в одной сети, то, для того, чтобы работал роутинг они должны принадлежать к разным ПОДСЕТЯМ. |
vit-muzika |
May 23 2006, 9:24
Пост
#20
|
Благодарности: 4 Репутация: 122 Cтаршой Группа: Пользователи Сообщений: 693 С нами с: 5-May 06 |
а ситуація банальна --- роутер має 2 інтерфейси які належать до однієї мережі і питання в тому як пропустить весь трафік через такий роутер eth0 10,24,14,150 eth110,24,14,151 lan10,24,14,128/25 gw10,24,14,129 Если они физически находятся в одной сети, то, для того, чтобы работал роутинг они должны принадлежать к разным ПОДСЕТЯМ. ок а як ти мені порадиш розбити мою сітку? іп які використовуються 129-167 і взагалі шлюз повинен бути 10,24,14,129/25 то без варіанів |
Упрощённая версия | Сейчас: 9th September 2024 - 21:51 |
Сайт не розміщує електронні версії творів, а займається лише колекціонуванням та каталогізацією посилань, що публікуються нашими користувачами. Якщо Ви є правовласником якоїсь частини опублікованого матеріалу та не бажаєте, щоб посилання на нього знаходилось в нашому каталозі, зв’яжіться з нами і ми видалимо його. Файли для обміну надані користувачами сайту і адміністрація не несе відповідальності за їх вміст. |