URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 77769
[ Назад ]

Исходное сообщение
"Почему нет доступа?"

Отправлено qt , 07-Дек-07 12:22 
Есть машина с двумя интерфейсами и тремя сетями

ppp0 - тунель
eth0 - физический
eth0.1 - алиас

так вот хочу чтобы трафик бегал по всем интерфейсам... сейчас только через тунель и в локалку бегает, на алиас не извне не бегает с машини нормально пингуются хосты 194.44.а.б

в чем проблема может быть? ну и может это все можно попроще сделать? или добавить еще физический интрефейс и не использовать алиасы?

net1=82.207.a.0/24
dev1=ppp0
ip1=82.207.a.b
gw1=195.5.a.b

ip route del $net1 dev $dev1

ip route add $net1 dev $dev1 src $ip1 table T1
ip route add default via $gw1 table T1
ip route add $net1 dev $dev1 src $ip1
ip route add default via $gw1
ip route add 127.0.0.0/8 dev lo table T1
ip rule add from $gw1 table T1


net2=194.44.a.b/28
dev2=eth0
ip2=194.44.a.b
gw2=194.44.a.b

ip route add $net2 dev $dev2 src $ip2 table T2
ip route add default via $gw2 table T2
ip route add $net2 dev $dev2 src $ip2
ip route add 127.0.0.0/8 dev lo table T2
ip rule add from $gw2 table T2


net3=192.168.1.0/24
dev3=eth0
ip3=192.168.1.232
gw3=192.168.1.2

ip route add $net3 dev $dev3 src $ip3 table T3
ip route add default via $gw3 table T3
ip route add $net3 dev $dev3 src $ip3
ip route add 127.0.0.0/8 dev lo table T3
ip rule add from $gw3 table T3


Содержание

Сообщения в этом обсуждении
"Почему нет доступа?"
Отправлено sn , 07-Дек-07 13:22 
Чего-то у тебя совсем беда какая-то и с интерфейсами и с роутингом. Опиши хоть что у тебя куда подключено.

"Почему нет доступа?"
Отправлено qt , 07-Дек-07 14:33 
>Чего-то у тебя совсем беда какая-то и с интерфейсами и с роутингом.
>Опиши хоть что у тебя куда подключено.

Беееда :)

Ну есть два канала, один земля другой радио
по земле в идеале должен бегать только почтовый трафик, земля сидит на ppp0

Далее есть внутрення локалка которая висит на eth0.
Алиасом eth0:1 к eth0 присобачена статическая айпишка из другого диапазона 194.44.а.б/28 которая смотрит в мир и к которой нужно иметь доступ вот алиас и не работает... все другое пингуется и бегает...


"Почему нет доступа?"
Отправлено sn , 10-Дек-07 11:23 
>Ну есть два канала, один земля другой радио
>по земле в идеале должен бегать только почтовый трафик, земля сидит на
>ppp0

При помощи iptables маркируй почтовый трафик и потом по марке его маршрутизируй.

>Далее есть внутрення локалка которая висит на eth0.
>Алиасом eth0:1 к eth0 присобачена статическая айпишка из другого диапазона 194.44.а.б/28 которая
>смотрит в мир и к которой нужно иметь доступ вот алиас
>и не работает... все другое пингуется и бегает...
>net2=194.44.a.b/28
>dev2=eth0
>ip2=194.44.a.b
>gw2=194.44.a.b

тут gw2 тот же, что и ip2 ?
надо ip шлюза, который знает, что у тебя тут внешний адрес стоит.


"Почему нет доступа?"
Отправлено qt , 10-Дек-07 13:06 
>>Ну есть два канала, один земля другой радио
>>по земле в идеале должен бегать только почтовый трафик, земля сидит на
>>ppp0
>
>При помощи iptables маркируй почтовый трафик и потом по марке его маршрутизируй.

А как трафик на OUTPUT маркировать?

>>ip2=194.44.a.b
>>gw2=194.44.a.b
>
>тут gw2 тот же, что и ip2 ?
>надо ip шлюза, который знает, что у тебя тут внешний адрес стоит.
>

нет, не тот же
ip2=194.44.a.b
gw2=194.44.a.c

тоесть этот шлюз маршрутизирует наши статические айпишки...


"Почему нет доступа?"
Отправлено qt , 10-Дек-07 14:12 
>>Ну есть два канала, один земля другой радио
>>по земле в идеале должен бегать только почтовый трафик, земля сидит на
>>ppp0
>
>При помощи iptables маркируй почтовый трафик и потом по марке его маршрутизируй.
>

iptables -t mangle -A OUTPUT -p tcp --dport 25 -j MARK --set-mark 10
так маркировать?



"Почему нет доступа?"
Отправлено sn , 10-Дек-07 15:26 

>iptables -t mangle -A OUTPUT -p tcp --dport 25 -j MARK --set-mark
>10
>так маркировать?

iptables -t mangle -A PREROUTING -p tcp --dport 25 -j MARK --set-mark 10

ip rule add fwmark 10 table T1


"Почему нет доступа?"
Отправлено qt , 10-Дек-07 15:35 
>
>>iptables -t mangle -A OUTPUT -p tcp --dport 25 -j MARK --set-mark
>>10
>>так маркировать?
>
>iptables -t mangle -A PREROUTING -p tcp --dport 25 -j MARK --set-mark
>10
>
>ip rule add fwmark 10 table T1

Ну это только если трафик сквозной, а если это локальный? тоесть почтовик на том же самом хосте? тогда как?


"Почему нет доступа?"
Отправлено sn , 10-Дек-07 16:02 
>Ну это только если трафик сквозной, а если это локальный? тоесть почтовик
>на том же самом хосте? тогда как?

Идем читать доки по iptables, iproute2 и т.д и т.п


"Почему нет доступа?"
Отправлено qt , 10-Дек-07 16:09 
>>Ну это только если трафик сквозной, а если это локальный? тоесть почтовик
>>на том же самом хосте? тогда как?
>
>Идем читать доки по iptables, iproute2 и т.д и т.п

Спасибо за напутствие но в доках так и говорится
Порядок обхода

3      mangle      OUTPUT      Здесь производится внесение изменений в заголовок пакета. Выполнение фильтрации в этой цепочке может иметь негативные последствия.
4     nat     OUTPUT     Эта цепочка используется для трансляции сетевых адресов (NAT) в пакетах, исходящих от локальных процессов брандмауэра.
5     Filter     OUTPUT     Здесь фильтруется исходящий траффик.
6     mangle     POSTROUTING     Цепочка POSTROUTING таблицы mangle в основном используется для правил, которые должны вносить изменения в заголовок пакета перед тем, как он покинет брандмауэр, но уже после принятия решения о маршрутизации. В эту цепочку попадают все пакеты, как транзитные, так и созданные локальными процессами брандмауэра.
7     nat     POSTROUTING     Здесь выполняется Source Network Address Translation. Не следует в этой цепочке производить фильтрацию пакетов во избежание нежелательных побочных эффектов. Однако и здесь можно останавливать пакеты, применяя политику по-умолчанию DROP.

никакого прероутинга я здесь не вижу


"Почему нет доступа?"
Отправлено sn , 11-Дек-07 08:55 
>
>никакого прероутинга я здесь не вижу

Дружище, ты меня заставил засомневаться. Вот нашел.

https://www.opennet.ru/docs/RUS/iptables/#MANGLETABLE


"Почему нет доступа?"
Отправлено sn , 11-Дек-07 08:59 
>>
>>никакого прероутинга я здесь не вижу
>
>Дружище, ты меня заставил засомневаться. Вот нашел.
>
>https://www.opennet.ru/docs/RUS/iptables/#MANGLETABLE

А локальное приложение настраивается с какого адреса отправлять.


"Почему нет доступа?"
Отправлено qt , 11-Дек-07 10:38 
>>>
>>>никакого прероутинга я здесь не вижу
>>
>>Дружище, ты меня заставил засомневаться. Вот нашел.
>>
>>https://www.opennet.ru/docs/RUS/iptables/#MANGLETABLE
>
>А локальное приложение настраивается с какого адреса отправлять.

Ну пока что все на ppp0 кроме виртуальных хостов, один должен быть на 82.207.а.б другой на 194.44.а.б, тот что на 82.207.а.б нормально работает... а к 194.44.а.б. как я написал нет доступа...


"Почему нет доступа?"
Отправлено qt , 11-Дек-07 10:41 
>>
>>никакого прероутинга я здесь не вижу
>
>Дружище, ты меня заставил засомневаться. Вот нашел.
>
>https://www.opennet.ru/docs/RUS/iptables/#MANGLETABLE

Я тебя понял, я же говорю что можно маркировать и в прероутинге если пакет идет снаружи, а мне интересно как его маркировать если это локальное приложение... вот и навел пример из _доков_ :) где описано как маркировать локальный трафик...


"Почему нет доступа?"
Отправлено sn , 11-Дек-07 14:56 
>[оверквотинг удален]
>>>никакого прероутинга я здесь не вижу
>>
>>Дружище, ты меня заставил засомневаться. Вот нашел.
>>
>>https://www.opennet.ru/docs/RUS/iptables/#MANGLETABLE
>
>Я тебя понял, я же говорю что можно маркировать и в прероутинге
>если пакет идет снаружи, а мне интересно как его маркировать если
>это локальное приложение... вот и навел пример из _доков_ :) где
>описано как маркировать локальный трафик...

OUTPUT в iptables обрабатывается после маршрутизации.

Если у тебя приложение отвечает на одном адресе, то через другую сетевую плату ответы не пойдут.


"Почему нет доступа?"
Отправлено qt , 11-Дек-07 16:11 

>OUTPUT в iptables обрабатывается после маршрутизации.
>
>Если у тебя приложение отвечает на одном адресе, то через другую сетевую
>плату ответы не пойдут.

Ну да, мне как раз и нужно почту по земле тоесть сеть 82.207
а все другие протоколы по радиоканалу, думаю что так сработает хотя бы для апача который сидити в сети 194.44.


"Почему нет доступа?"
Отправлено qt , 07-Дек-07 18:19 
Народ не проходите мимо %)

"Почему нет доступа?"
Отправлено tux2002 , 10-Дек-07 13:08 
>Народ не проходите мимо %)

route
покажите пожалуйста, что то я запутался в Ваших gw


"Почему нет доступа?"
Отправлено qt , 10-Дек-07 13:46 
>>Народ не проходите мимо %)
>
>route
>покажите пожалуйста, что то я запутался в Ваших gw

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
195.5.a.b       *               255.255.255.255 UH    0      0        0 ppp0
194.44.a.0      *               255.255.255.240 U     0      0        0 eth0
sparing-vist    *               255.255.255.0   U     0      0        0 eth0
loopback        *               255.0.0.0       U     0      0        0 lo
default         195.5.a.b       0.0.0.0         UG    0      0        0 ppp0

ip route list
195.5.a.b dev ppp0  proto kernel  scope link  src 82.207.a.b
194.44.a.0/28 dev eth0  scope link  src 194.44.a.b
192.168.1.0/24 dev eth0  proto kernel  scope link  src 192.168.1.232
127.0.0.0/8 dev lo  scope link
default via 195.5.a.b dev ppp0

ip route list table T1
82.207.a.0/24 dev ppp0  scope link  src 82.207.a.b
127.0.0.0/8 dev lo  scope link
default via 195.5.a.b dev ppp0

ip route list table T2
194.44.a.0/28 dev eth0  scope link  src 194.44.a.b
127.0.0.0/8 dev lo  scope link
default via 194.44.a.c dev eth0

ip route list table T3
192.168.1.0/24 dev eth0  scope link  src 192.168.1.232
127.0.0.0/8 dev lo  scope link


"Почему нет доступа?"
Отправлено tux2002 , 11-Дек-07 08:14 

>ip route list table T3
>192.168.1.0/24 dev eth0  scope link  src 192.168.1.232
>127.0.0.0/8 dev lo  scope link

А я здесь ожидал default via 194.44.a.c. dev eth0

И почему нет в основной таблице маршрутизации маршрута к 192.168.1.0/24   - это sparing-vist что ли?



"Почему нет доступа?"
Отправлено tux2002 , 11-Дек-07 08:16 
gw3=192.168.1.2 это что вообще такое?


"Почему нет доступа?"
Отправлено qt , 11-Дек-07 11:03 

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
195.5.а.б       0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
194.44.а.224    0.0.0.0         255.255.255.240 U     0      0        0 eth0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
0.0.0.0         195.5.а.б       0.0.0.0         UG    0      0        0 ppp0

>gw3=192.168.1.2 это что вообще такое?

Это провайдерский шлюз на радиоканал он же маршрутизирует айпишки 194.44.а.б/28


"Почему нет доступа?"
Отправлено qt , 11-Дек-07 11:06 
>[оверквотинг удален]
>0        0 lo
>0.0.0.0         195.5.а.б  
>    0.0.0.0      
>  UG    0    
> 0        0 ppp0
>
>
>>gw3=192.168.1.2 это что вообще такое?
>
>Это провайдерский шлюз на радиоканал он же маршрутизирует айпишки 194.44.а.б/28

Он же 194.44.a.c тоесть две айпишки имеет или даже три :) туда доступа я не имею


"Почему нет доступа?"
Отправлено tux2002 , 11-Дек-07 12:57 
Всё, я пас.



"Почему нет доступа?"
Отправлено qt , 11-Дек-07 13:07 
>Всё, я пас.

Спасибо, я сам скоро пас сделаю :))))

Мля... главное что с сервака 194.44.а.с пингуется, тоесть шлюз по умолчанию для 194.44.а.б


"Почему нет доступа?"
Отправлено tux2002 , 11-Дек-07 14:38 
ip route list table T3
192.168.1.0/24 dev eth0  scope link  src 192.168.1.232
127.0.0.0/8 dev lo  scope link

Почему нет default маршрута на gw 192.168.1.2


"Почему нет доступа?"
Отправлено qt , 11-Дек-07 16:23 
>ip route list table T3
>192.168.1.0/24 dev eth0  scope link  src 192.168.1.232
>127.0.0.0/8 dev lo  scope link
>
>Почему нет default маршрута на gw 192.168.1.2

Да был он там, видимо после манипуляций пропал, но дело не в этом сеть 82.207. и 192.168. нормально работают а вот через сеть 194.44. выхода в мир нету... только шлюз по умолчанию видно....


"Почему нет доступа?"
Отправлено tux2002 , 12-Дек-07 07:54 

Судя по таблице маршрутизации так и есть. Из какой сети ты хочешь пустить траффик на gw2=194.44.a.c ?


"Почему нет доступа?"
Отправлено qt , 12-Дек-07 10:31 
>
>
>Судя по таблице маршрутизации так и есть. Из какой сети ты хочешь
>пустить траффик на gw2=194.44.a.c ?

Пока что из локалхост кроме мыла, мыло будет бегать в сеть 82.207. так как на туда смотрит почтовик, дальше было б хорошо из локалки юзверей пускать через радиоканал - 194.44.а.с

локалхоcт -> 194.44.a.c - весь кроме мыла
192.168.1. -> 194.44.a.c - уже по трафику веб, фтп...


"Почему нет доступа?"
Отправлено qt , 15-Дек-07 14:09 
>
>локалхоcт -> 194.44.a.c - весь кроме мыла
>192.168.1. -> 194.44.a.c - уже по трафику веб, фтп...

up