Войти

Показать полную графическую версию : Помогите узнать - что работает: ipchains, iptables???


Ak74
17-11-2003, 16:59
Есть сервер Linux RH, ядро 2.4.2. Он - шлюз в интернет + почтовый сервер. Теперь у нас ставят банкомат, который имеет свой IP=195.230.133.97(адрес изменен). И надо настроить маршрутизацию - чтобы tcp-пакеты банкомата, который подключен к моей сети 10.0.0.X передавались через Линукс провайдеру (а тот уже будет делить трафик).
Проблема: Линукс я занимаюсь недавно. Этот сервер настраивал не я. Добавил правило route add -host 195.230.133.97 -netmask 255.255.255.0 target eth0, дальше есть правило по умолчанию - все отправлять на провайдера. Ping между банкоматом и сервером не идет. Думаю - закрыт доступ в файрволе. Но не могу понять - какой у меня работает.
Есть бинарики - ipfwadm, ipchains, файла iptables нет нигде. В процессах никакого файрвола нет. В каталоге /etc/rc3.d/ есть файлик S08ipchains.
Когда даю команду ipchains -L input мне выдается по одной строке на интерфейс: разрешено все.
Какой файрвол у меня работает?

ruslandh
17-11-2003, 23:02
chkconfig --list
rpm -qa | grep ip

PS по всем параметрам у вас установлен ipchains.

Bugs
18-11-2003, 04:34
Ak74
ipchains -L
Если стоит он, ты выдаст полный список правил файервола.

Barracuda
18-11-2003, 04:53
Ak74
Кроме файрвола есть ещё форвардинг. А он включен?

JeweL
18-11-2003, 19:56
Ak74
как это: ящик с реальным (как я понял) адресом "подключен к моей сети 10.0.0.X" ?

Ak74
19-11-2003, 10:25
Разобрался - у меня работает ipchains. По форвардингу - я прочитал в howto-ipchaibs - если в файле /proc/sys/net/ipv4/ip_forward есть "1", то форвардинг включен, у меня стоит - 1.
У банкомата есть реальный IP-адрес (не сети провайдера), который не должен маскироваться.  На моем Линуксе два интерфейса eth0 (10.0.0.1) и eth1 (реальный адрес, выданный провайдером).
  Трафик исходящий от банкомата через мой Линукс должен передаваться провайдеру, а тот уже разбирает его и выделяет пакеты от банкомата.
  Трафик, входящий на банкомат (пакеты для банкомата маршрутизирует провайдер в общий для моего Линукс трафик). Линукс должен выделить выделить пакеты, предназначенные для банкомата и передать их ему.
Посмтрел правила - все пакеты из моей сети (10.0.0.0) маскируется при передаче через интерфейс eth1 (10.0.0.1).

Вопрос: смогу ли я настроить ipchains на Линукс так, чтобы он передавал пакеты от (и на) банкомат без маскирования, т.е. в заголовок пакета от (и на) банкомат должен остаться неизменным? Или, для того чтобы все это заработало, банк мне должен выделить реальный IP для интерфейса eth1 из сети банкомата?
- По форвардингу я запутался: форвардинг настраивается и в ipchains цепочка forward, и в файле /proc/sys/net/ipv4/ip_forward также разрешается форвардинг. Я должен его разрешитьв обоих местах или только в одном для того, чтобы разрешить форвардинг?

Guest 80 247 100
19-11-2003, 15:28
/proc/sys/net/ipv4/ip_forward есть "1", то форвардинг включен это должно быть что вообще пакеты  форвадились.

-A forward -s 0.0.0.0/0.0.0.0 -d IP-bankomat/255.255.255.255 -i eth1 -j ACCEPT

-A forward -s IP-bankomat/255.255.255.255 -d 0.0.0.0/0.0.0.0 -i eth0 -j ACCEPT
-это цепочки в ipchains для того чтобы пропускало пакеты до банкомата и обратно не маскируя их...
route add -host ip-bankomat -netmask 255.255.255.255 dev eth0
это в таблице роутинга пропишет на какой интерфейс посылать пакеты для банкомата...

собственно останется прописать на банкомате (если возможно) в качестве default router 10.0.0.1
и теоритически ;О) будет работать... теоритически. Лично меня ОЧЕНЬ здесь смущает то что 10.0.0.1 - принадлежит мнимой IP-сети, а банкомат - реальной.. может нифига не получиться.  :о\

Ak74
19-11-2003, 16:53
Guest 80 247 100
вопрос по ipchains - я добавил правила для цепочки forward. а должен ли я прописывать правила для цепочки input, проверяет ли input пакеты, которые форвардятся? Например, у меня в цепочке input разрешено проходить только пакетам из сети 10.0.0.0

JeweL
19-11-2003, 18:37
Ak74
input - пакеты, предназначенные для локальной машины
forward - проходящие
output - сгенерированные на локальной машине
зы. в RTFM не описано???

Guest 80 247 100
20-11-2003, 08:05
Ak74, вот JeweL дело молотит! ;о) RTFM foreva!

Ak74
20-11-2003, 14:23
JeweL
просветите пожалуста, что такое RTFM? сделал поиск в интернет по этой абревиатуре, но так и не понял что же это...

Guest 80 247 100
20-11-2003, 14:28
Read The Fucking %o)) Manual
кароче читай документацию и ЧаВо

JeweL
20-11-2003, 14:30
RTFM = Read The F#cking Manual
т.е. читайте man & howto, которых в сети полно, т.к. решать на форуме вопросы, которые хорошо описаны в howto, смысла нет
в частности смотрите на opennet.ru




© OSzone.net 2001-2012