URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 77769
[ Назад ]

Исходное сообщение
"Почему нет доступа?"
Отправлено qt , 07-Дек-07 12:22

Есть машина с двумя интерфейсами и тремя сетями
ppp0 - тунель
eth0 - физический
eth0.1 - алиас
так вот хочу чтобы трафик бегал по всем интерфейсам... сейчас только через тунель и в локалку бегает, на алиас не извне не бегает с машини нормально пингуются хосты 194.44.а.б
в чем проблема может быть? ну и может это все можно попроще сделать? или добавить еще физический интрефейс и не использовать алиасы?
net1=82.207.a.0/24
dev1=ppp0
ip1=82.207.a.b
gw1=195.5.a.b
ip route del $net1 dev $dev1
ip route add $net1 dev $dev1 src $ip1 table T1
ip route add default via $gw1 table T1
ip route add $net1 dev $dev1 src $ip1
ip route add default via $gw1
ip route add 127.0.0.0/8 dev lo table T1
ip rule add from $gw1 table T1

net2=194.44.a.b/28
dev2=eth0
ip2=194.44.a.b
gw2=194.44.a.b
ip route add $net2 dev $dev2 src $ip2 table T2
ip route add default via $gw2 table T2
ip route add $net2 dev $dev2 src $ip2
ip route add 127.0.0.0/8 dev lo table T2
ip rule add from $gw2 table T2

net3=192.168.1.0/24
dev3=eth0
ip3=192.168.1.232
gw3=192.168.1.2
ip route add $net3 dev $dev3 src $ip3 table T3
ip route add default via $gw3 table T3
ip route add $net3 dev $dev3 src $ip3
ip route add 127.0.0.0/8 dev lo table T3
ip rule add from $gw3 table T3

Содержание

Почему нет доступа?,sn, 13:22 , 07-Дек-07
- Почему нет доступа?,qt, 14:33 , 07-Дек-07
  - Почему нет доступа?,sn, 11:23 , 10-Дек-07
    - Почему нет доступа?,qt, 13:06 , 10-Дек-07
    - Почему нет доступа?,qt, 14:12 , 10-Дек-07
      - Почему нет доступа?,sn, 15:26 , 10-Дек-07
        
        Почему нет доступа?,qt, 15:35 , 10-Дек-07
        
        Почему нет доступа?,sn, 16:02 , 10-Дек-07
        
        Почему нет доступа?,qt, 16:09 , 10-Дек-07
        
        Почему нет доступа?,sn, 08:55 , 11-Дек-07
        
        Почему нет доступа?,sn, 08:59 , 11-Дек-07
        
        Почему нет доступа?,qt, 10:38 , 11-Дек-07
        
        Почему нет доступа?,qt, 10:41 , 11-Дек-07
        
        Почему нет доступа?,sn, 14:56 , 11-Дек-07
        
        Почему нет доступа?,qt, 16:11 , 11-Дек-07
Почему нет доступа?,qt, 18:19 , 07-Дек-07
- Почему нет доступа?,tux2002, 13:08 , 10-Дек-07
  - Почему нет доступа?,qt, 13:46 , 10-Дек-07
    - Почему нет доступа?,tux2002, 08:14 , 11-Дек-07
      - Почему нет доступа?,tux2002, 08:16 , 11-Дек-07
        
        Почему нет доступа?,qt, 11:03 , 11-Дек-07
        
        Почему нет доступа?,qt, 11:06 , 11-Дек-07
        
        Почему нет доступа?,tux2002, 12:57 , 11-Дек-07
        
        Почему нет доступа?,qt, 13:07 , 11-Дек-07
        
        Почему нет доступа?,tux2002, 14:38 , 11-Дек-07
        
        Почему нет доступа?,qt, 16:23 , 11-Дек-07
        
        Почему нет доступа?,tux2002, 07:54 , 12-Дек-07
        
        Почему нет доступа?,qt, 10:31 , 12-Дек-07
        
        Почему нет доступа?,qt, 14:09 , 15-Дек-07

Сообщения в этом обсуждении

"Почему нет доступа?"
Отправлено sn , 07-Дек-07 13:22

Чего-то у тебя совсем беда какая-то и с интерфейсами и с роутингом. Опиши хоть что у тебя куда подключено.

"Почему нет доступа?"
Отправлено qt , 07-Дек-07 14:33

>Чего-то у тебя совсем беда какая-то и с интерфейсами и с роутингом.
>Опиши хоть что у тебя куда подключено.
Беееда :)
Ну есть два канала, один земля другой радио
по земле в идеале должен бегать только почтовый трафик, земля сидит на ppp0
Далее есть внутрення локалка которая висит на eth0.
Алиасом eth0:1 к eth0 присобачена статическая айпишка из другого диапазона 194.44.а.б/28 которая смотрит в мир и к которой нужно иметь доступ вот алиас и не работает... все другое пингуется и бегает...

"Почему нет доступа?"
Отправлено sn , 10-Дек-07 11:23

>Ну есть два канала, один земля другой радио
>по земле в идеале должен бегать только почтовый трафик, земля сидит на
>ppp0
При помощи iptables маркируй почтовый трафик и потом по марке его маршрутизируй.
>Далее есть внутрення локалка которая висит на eth0.
>Алиасом eth0:1 к eth0 присобачена статическая айпишка из другого диапазона 194.44.а.б/28 которая
>смотрит в мир и к которой нужно иметь доступ вот алиас
>и не работает... все другое пингуется и бегает...
>net2=194.44.a.b/28
>dev2=eth0
>ip2=194.44.a.b
>gw2=194.44.a.b
тут gw2 тот же, что и ip2 ?
надо ip шлюза, который знает, что у тебя тут внешний адрес стоит.

"Почему нет доступа?"
Отправлено qt , 10-Дек-07 13:06

>>Ну есть два канала, один земля другой радио
>>по земле в идеале должен бегать только почтовый трафик, земля сидит на
>>ppp0
>
>При помощи iptables маркируй почтовый трафик и потом по марке его маршрутизируй.
А как трафик на OUTPUT маркировать?
>>ip2=194.44.a.b
>>gw2=194.44.a.b
>
>тут gw2 тот же, что и ip2 ?
>надо ip шлюза, который знает, что у тебя тут внешний адрес стоит.
>
нет, не тот же
ip2=194.44.a.b
gw2=194.44.a.c
тоесть этот шлюз маршрутизирует наши статические айпишки...

"Почему нет доступа?"
Отправлено qt , 10-Дек-07 14:12

>>Ну есть два канала, один земля другой радио
>>по земле в идеале должен бегать только почтовый трафик, земля сидит на
>>ppp0
>
>При помощи iptables маркируй почтовый трафик и потом по марке его маршрутизируй.
>
iptables -t mangle -A OUTPUT -p tcp --dport 25 -j MARK --set-mark 10
так маркировать?

"Почему нет доступа?"
Отправлено sn , 10-Дек-07 15:26

>iptables -t mangle -A OUTPUT -p tcp --dport 25 -j MARK --set-mark
>10
>так маркировать?
iptables -t mangle -A PREROUTING -p tcp --dport 25 -j MARK --set-mark 10
ip rule add fwmark 10 table T1

"Почему нет доступа?"
Отправлено qt , 10-Дек-07 15:35

>
>>iptables -t mangle -A OUTPUT -p tcp --dport 25 -j MARK --set-mark
>>10
>>так маркировать?
>
>iptables -t mangle -A PREROUTING -p tcp --dport 25 -j MARK --set-mark
>10
>
>ip rule add fwmark 10 table T1
Ну это только если трафик сквозной, а если это локальный? тоесть почтовик на том же самом хосте? тогда как?

"Почему нет доступа?"
Отправлено sn , 10-Дек-07 16:02

>Ну это только если трафик сквозной, а если это локальный? тоесть почтовик
>на том же самом хосте? тогда как?
Идем читать доки по iptables, iproute2 и т.д и т.п

"Почему нет доступа?"
Отправлено qt , 10-Дек-07 16:09

>>Ну это только если трафик сквозной, а если это локальный? тоесть почтовик
>>на том же самом хосте? тогда как?
>
>Идем читать доки по iptables, iproute2 и т.д и т.п
Спасибо за напутствие но в доках так и говорится
Порядок обхода
3      mangle      OUTPUT      Здесь производится внесение изменений в заголовок пакета. Выполнение фильтрации в этой цепочке может иметь негативные последствия.
4     nat     OUTPUT     Эта цепочка используется для трансляции сетевых адресов (NAT) в пакетах, исходящих от локальных процессов брандмауэра.
5     Filter     OUTPUT     Здесь фильтруется исходящий траффик.
6     mangle     POSTROUTING     Цепочка POSTROUTING таблицы mangle в основном используется для правил, которые должны вносить изменения в заголовок пакета перед тем, как он покинет брандмауэр, но уже после принятия решения о маршрутизации. В эту цепочку попадают все пакеты, как транзитные, так и созданные локальными процессами брандмауэра.
7     nat     POSTROUTING     Здесь выполняется Source Network Address Translation. Не следует в этой цепочке производить фильтрацию пакетов во избежание нежелательных побочных эффектов. Однако и здесь можно останавливать пакеты, применяя политику по-умолчанию DROP.
никакого прероутинга я здесь не вижу

"Почему нет доступа?"
Отправлено sn , 11-Дек-07 08:55

>
>никакого прероутинга я здесь не вижу
Дружище, ты меня заставил засомневаться. Вот нашел.
https://www.opennet.ru/docs/RUS/iptables/#MANGLETABLE

"Почему нет доступа?"
Отправлено sn , 11-Дек-07 08:59

>>
>>никакого прероутинга я здесь не вижу
>
>Дружище, ты меня заставил засомневаться. Вот нашел.
>
>https://www.opennet.ru/docs/RUS/iptables/#MANGLETABLE
А локальное приложение настраивается с какого адреса отправлять.

"Почему нет доступа?"
Отправлено qt , 11-Дек-07 10:38

>>>
>>>никакого прероутинга я здесь не вижу
>>
>>Дружище, ты меня заставил засомневаться. Вот нашел.
>>
>>https://www.opennet.ru/docs/RUS/iptables/#MANGLETABLE
>
>А локальное приложение настраивается с какого адреса отправлять.
Ну пока что все на ppp0 кроме виртуальных хостов, один должен быть на 82.207.а.б другой на 194.44.а.б, тот что на 82.207.а.б нормально работает... а к 194.44.а.б. как я написал нет доступа...

"Почему нет доступа?"
Отправлено qt , 11-Дек-07 10:41

>>
>>никакого прероутинга я здесь не вижу
>
>Дружище, ты меня заставил засомневаться. Вот нашел.
>
>https://www.opennet.ru/docs/RUS/iptables/#MANGLETABLE
Я тебя понял, я же говорю что можно маркировать и в прероутинге если пакет идет снаружи, а мне интересно как его маркировать если это локальное приложение... вот и навел пример из _доков_ :) где описано как маркировать локальный трафик...

"Почему нет доступа?"
Отправлено sn , 11-Дек-07 14:56

>[оверквотинг удален]
>>>никакого прероутинга я здесь не вижу
>>
>>Дружище, ты меня заставил засомневаться. Вот нашел.
>>
>>https://www.opennet.ru/docs/RUS/iptables/#MANGLETABLE
>
>Я тебя понял, я же говорю что можно маркировать и в прероутинге
>если пакет идет снаружи, а мне интересно как его маркировать если
>это локальное приложение... вот и навел пример из _доков_ :) где
>описано как маркировать локальный трафик...
OUTPUT в iptables обрабатывается после маршрутизации.
Если у тебя приложение отвечает на одном адресе, то через другую сетевую плату ответы не пойдут.

"Почему нет доступа?"
Отправлено qt , 11-Дек-07 16:11

>OUTPUT в iptables обрабатывается после маршрутизации.
>
>Если у тебя приложение отвечает на одном адресе, то через другую сетевую
>плату ответы не пойдут.
Ну да, мне как раз и нужно почту по земле тоесть сеть 82.207
а все другие протоколы по радиоканалу, думаю что так сработает хотя бы для апача который сидити в сети 194.44.

"Почему нет доступа?"
Отправлено qt , 07-Дек-07 18:19

Народ не проходите мимо %)

"Почему нет доступа?"
Отправлено tux2002 , 10-Дек-07 13:08

>Народ не проходите мимо %)
route
покажите пожалуйста, что то я запутался в Ваших gw

"Почему нет доступа?"
Отправлено qt , 10-Дек-07 13:46

>>Народ не проходите мимо %)
>
>route
>покажите пожалуйста, что то я запутался в Ваших gw
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
195.5.a.b       *               255.255.255.255 UH    0      0        0 ppp0
194.44.a.0      *               255.255.255.240 U     0      0        0 eth0
sparing-vist    *               255.255.255.0   U     0      0        0 eth0
loopback        *               255.0.0.0       U     0      0        0 lo
default         195.5.a.b       0.0.0.0         UG    0      0        0 ppp0
ip route list
195.5.a.b dev ppp0  proto kernel  scope link  src 82.207.a.b
194.44.a.0/28 dev eth0  scope link  src 194.44.a.b
192.168.1.0/24 dev eth0  proto kernel  scope link  src 192.168.1.232
127.0.0.0/8 dev lo  scope link
default via 195.5.a.b dev ppp0
ip route list table T1
82.207.a.0/24 dev ppp0  scope link  src 82.207.a.b
127.0.0.0/8 dev lo  scope link
default via 195.5.a.b dev ppp0
ip route list table T2
194.44.a.0/28 dev eth0  scope link  src 194.44.a.b
127.0.0.0/8 dev lo  scope link
default via 194.44.a.c dev eth0
ip route list table T3
192.168.1.0/24 dev eth0  scope link  src 192.168.1.232
127.0.0.0/8 dev lo  scope link

"Почему нет доступа?"
Отправлено tux2002 , 11-Дек-07 08:14

>ip route list table T3
>192.168.1.0/24 dev eth0  scope link  src 192.168.1.232
>127.0.0.0/8 dev lo  scope link
А я здесь ожидал default via 194.44.a.c. dev eth0
И почему нет в основной таблице маршрутизации маршрута к 192.168.1.0/24   - это sparing-vist что ли?

"Почему нет доступа?"
Отправлено tux2002 , 11-Дек-07 08:16

gw3=192.168.1.2 это что вообще такое?

"Почему нет доступа?"
Отправлено qt , 11-Дек-07 11:03

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
195.5.а.б       0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
194.44.а.224    0.0.0.0         255.255.255.240 U     0      0        0 eth0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
0.0.0.0         195.5.а.б       0.0.0.0         UG    0      0        0 ppp0
>gw3=192.168.1.2 это что вообще такое?
Это провайдерский шлюз на радиоканал он же маршрутизирует айпишки 194.44.а.б/28

"Почему нет доступа?"
Отправлено qt , 11-Дек-07 11:06

>[оверквотинг удален]
>0        0 lo
>0.0.0.0         195.5.а.б
>    0.0.0.0
>  UG    0
> 0        0 ppp0
>
>
>>gw3=192.168.1.2 это что вообще такое?
>
>Это провайдерский шлюз на радиоканал он же маршрутизирует айпишки 194.44.а.б/28
Он же 194.44.a.c тоесть две айпишки имеет или даже три :) туда доступа я не имею

"Почему нет доступа?"
Отправлено tux2002 , 11-Дек-07 12:57

Всё, я пас.

"Почему нет доступа?"
Отправлено qt , 11-Дек-07 13:07

>Всё, я пас.
Спасибо, я сам скоро пас сделаю :))))
Мля... главное что с сервака 194.44.а.с пингуется, тоесть шлюз по умолчанию для 194.44.а.б

"Почему нет доступа?"
Отправлено tux2002 , 11-Дек-07 14:38

ip route list table T3
192.168.1.0/24 dev eth0 scope link src 192.168.1.232
127.0.0.0/8 dev lo scope link
Почему нет default маршрута на gw 192.168.1.2

"Почему нет доступа?"
Отправлено qt , 11-Дек-07 16:23

>ip route list table T3
>192.168.1.0/24 dev eth0 scope link src 192.168.1.232
>127.0.0.0/8 dev lo scope link
>
>Почему нет default маршрута на gw 192.168.1.2
Да был он там, видимо после манипуляций пропал, но дело не в этом сеть 82.207. и 192.168. нормально работают а вот через сеть 194.44. выхода в мир нету... только шлюз по умолчанию видно....

"Почему нет доступа?"
Отправлено tux2002 , 12-Дек-07 07:54

Судя по таблице маршрутизации так и есть. Из какой сети ты хочешь пустить траффик на gw2=194.44.a.c ?

"Почему нет доступа?"
Отправлено qt , 12-Дек-07 10:31

>
>
>Судя по таблице маршрутизации так и есть. Из какой сети ты хочешь
>пустить траффик на gw2=194.44.a.c ?
Пока что из локалхост кроме мыла, мыло будет бегать в сеть 82.207. так как на туда смотрит почтовик, дальше было б хорошо из локалки юзверей пускать через радиоканал - 194.44.а.с
локалхоcт -> 194.44.a.c - весь кроме мыла
192.168.1. -> 194.44.a.c - уже по трафику веб, фтп...

"Почему нет доступа?"
Отправлено qt , 15-Дек-07 14:09

>
>локалхоcт -> 194.44.a.c - весь кроме мыла
>192.168.1. -> 194.44.a.c - уже по трафику веб, фтп...
up