|
Есть сервер Linux RH, ядро 2.4.2. Он - шлюз в интернет + почтовый сервер. Теперь у нас ставят банкомат, который имеет свой IP=195.230.133.97(адрес изменен). И надо настроить маршрутизацию - чтобы tcp-пакеты банкомата, который подключен к моей сети 10.0.0.X передавались через Линукс провайдеру (а тот уже будет делить трафик).
Проблема: Линукс я занимаюсь недавно. Этот сервер настраивал не я. Добавил правило route add -host 195.230.133.97 -netmask 255.255.255.0 target eth0, дальше есть правило по умолчанию - все отправлять на провайдера. Ping между банкоматом и сервером не идет. Думаю - закрыт доступ в файрволе. Но не могу понять - какой у меня работает. Есть бинарики - ipfwadm, ipchains, файла iptables нет нигде. В процессах никакого файрвола нет. В каталоге /etc/rc3.d/ есть файлик S08ipchains. Когда даю команду ipchains -L input мне выдается по одной строке на интерфейс: разрешено все. Какой файрвол у меня работает? |
chkconfig --list
rpm -qa | grep ip PS по всем параметрам у вас установлен ipchains. |
Ak74
ipchains -L Если стоит он, ты выдаст полный список правил файервола. |
Ak74
Кроме файрвола есть ещё форвардинг. А он включен? |
Ak74
как это: ящик с реальным (как я понял) адресом "подключен к моей сети 10.0.0.X" ? |
Разобрался - у меня работает ipchains. По форвардингу - я прочитал в howto-ipchaibs - если в файле /proc/sys/net/ipv4/ip_forward есть "1", то форвардинг включен, у меня стоит - 1.
У банкомата есть реальный IP-адрес (не сети провайдера), который не должен маскироваться. На моем Линуксе два интерфейса eth0 (10.0.0.1) и eth1 (реальный адрес, выданный провайдером). Трафик исходящий от банкомата через мой Линукс должен передаваться провайдеру, а тот уже разбирает его и выделяет пакеты от банкомата. Трафик, входящий на банкомат (пакеты для банкомата маршрутизирует провайдер в общий для моего Линукс трафик). Линукс должен выделить выделить пакеты, предназначенные для банкомата и передать их ему. Посмтрел правила - все пакеты из моей сети (10.0.0.0) маскируется при передаче через интерфейс eth1 (10.0.0.1). Вопрос: смогу ли я настроить ipchains на Линукс так, чтобы он передавал пакеты от (и на) банкомат без маскирования, т.е. в заголовок пакета от (и на) банкомат должен остаться неизменным? Или, для того чтобы все это заработало, банк мне должен выделить реальный IP для интерфейса eth1 из сети банкомата? - По форвардингу я запутался: форвардинг настраивается и в ipchains цепочка forward, и в файле /proc/sys/net/ipv4/ip_forward также разрешается форвардинг. Я должен его разрешитьв обоих местах или только в одном для того, чтобы разрешить форвардинг? |
Цитата:
[pre]-A forward -s 0.0.0.0/0.0.0.0 -d IP-bankomat/255.255.255.255 -i eth1 -j ACCEPT [/pre] [pre]-A forward -s IP-bankomat/255.255.255.255 -d 0.0.0.0/0.0.0.0 -i eth0 -j ACCEPT[/pre] -это цепочки в ipchains для того чтобы пропускало пакеты до банкомата и обратно не маскируя их... [pre]route add -host ip-bankomat -netmask 255.255.255.255 dev eth0[/pre] это в таблице роутинга пропишет на какой интерфейс посылать пакеты для банкомата... собственно останется прописать на банкомате (если возможно) в качестве default router 10.0.0.1 и теоритически ;О) будет работать... теоритически. Лично меня ОЧЕНЬ здесь смущает то что 10.0.0.1 - принадлежит мнимой IP-сети, а банкомат - реальной.. может нифига не получиться. :о\ |
Guest 80 247 100
вопрос по ipchains - я добавил правила для цепочки forward. а должен ли я прописывать правила для цепочки input, проверяет ли input пакеты, которые форвардятся? Например, у меня в цепочке input разрешено проходить только пакетам из сети 10.0.0.0 |
Ak74
input - пакеты, предназначенные для локальной машины forward - проходящие output - сгенерированные на локальной машине зы. в RTFM не описано??? |
Ak74, вот JeweL дело молотит! ;о) RTFM foreva!
|
Цитата:
|
Read The Fucking %o)) Manual
кароче читай документацию и ЧаВо |
RTFM = Read The F#cking Manual
т.е. читайте man & howto, которых в сети полно, т.к. решать на форуме вопросы, которые хорошо описаны в howto, смысла нет в частности смотрите на opennet.ru |
| Время: 13:52. |
Время: 13:52.
© OSzone.net 2001-