Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Общий по Linux (http://forum.oszone.net/forumdisplay.php?f=9)
-   -   Помогите узнать - что работает: ipchains, iptables??? (http://forum.oszone.net/showthread.php?t=13555)

Ak74 17-11-2003 16:59 72565

Есть сервер Linux RH, ядро 2.4.2. Он - шлюз в интернет + почтовый сервер. Теперь у нас ставят банкомат, который имеет свой IP=195.230.133.97(адрес изменен). И надо настроить маршрутизацию - чтобы tcp-пакеты банкомата, который подключен к моей сети 10.0.0.X передавались через Линукс провайдеру (а тот уже будет делить трафик).
Проблема: Линукс я занимаюсь недавно. Этот сервер настраивал не я. Добавил правило route add -host 195.230.133.97 -netmask 255.255.255.0 target eth0, дальше есть правило по умолчанию - все отправлять на провайдера. Ping между банкоматом и сервером не идет. Думаю - закрыт доступ в файрволе. Но не могу понять - какой у меня работает.
Есть бинарики - ipfwadm, ipchains, файла iptables нет нигде. В процессах никакого файрвола нет. В каталоге /etc/rc3.d/ есть файлик S08ipchains.
Когда даю команду ipchains -L input мне выдается по одной строке на интерфейс: разрешено все.
Какой файрвол у меня работает?

ruslandh 17-11-2003 23:02 72566

chkconfig --list
rpm -qa | grep ip

PS по всем параметрам у вас установлен ipchains.

Bugs 18-11-2003 04:34 72567

Ak74
ipchains -L
Если стоит он, ты выдаст полный список правил файервола.

Barracuda 18-11-2003 04:53 72568

Ak74
Кроме файрвола есть ещё форвардинг. А он включен?

JeweL 18-11-2003 19:56 72569

Ak74
как это: ящик с реальным (как я понял) адресом "подключен к моей сети 10.0.0.X" ?

Ak74 19-11-2003 10:25 72570

Разобрался - у меня работает ipchains. По форвардингу - я прочитал в howto-ipchaibs - если в файле /proc/sys/net/ipv4/ip_forward есть "1", то форвардинг включен, у меня стоит - 1.
У банкомата есть реальный IP-адрес (не сети провайдера), который не должен маскироваться.  На моем Линуксе два интерфейса eth0 (10.0.0.1) и eth1 (реальный адрес, выданный провайдером).
  Трафик исходящий от банкомата через мой Линукс должен передаваться провайдеру, а тот уже разбирает его и выделяет пакеты от банкомата.
  Трафик, входящий на банкомат (пакеты для банкомата маршрутизирует провайдер в общий для моего Линукс трафик). Линукс должен выделить выделить пакеты, предназначенные для банкомата и передать их ему.
Посмтрел правила - все пакеты из моей сети (10.0.0.0) маскируется при передаче через интерфейс eth1 (10.0.0.1).

Вопрос: смогу ли я настроить ipchains на Линукс так, чтобы он передавал пакеты от (и на) банкомат без маскирования, т.е. в заголовок пакета от (и на) банкомат должен остаться неизменным? Или, для того чтобы все это заработало, банк мне должен выделить реальный IP для интерфейса eth1 из сети банкомата?
- По форвардингу я запутался: форвардинг настраивается и в ipchains цепочка forward, и в файле /proc/sys/net/ipv4/ip_forward также разрешается форвардинг. Я должен его разрешитьв обоих местах или только в одном для того, чтобы разрешить форвардинг?

Guest 80 247 100 19-11-2003 15:28 72571

Цитата:

/proc/sys/net/ipv4/ip_forward есть "1", то форвардинг включен
это должно быть что вообще пакеты  форвадились.

[pre]-A forward -s 0.0.0.0/0.0.0.0 -d IP-bankomat/255.255.255.255 -i eth1 -j ACCEPT
[/pre]
[pre]-A forward -s IP-bankomat/255.255.255.255 -d 0.0.0.0/0.0.0.0 -i eth0 -j ACCEPT[/pre]
-это цепочки в ipchains для того чтобы пропускало пакеты до банкомата и обратно не маскируя их...
[pre]route add -host ip-bankomat -netmask 255.255.255.255 dev eth0[/pre]
это в таблице роутинга пропишет на какой интерфейс посылать пакеты для банкомата...

собственно останется прописать на банкомате (если возможно) в качестве default router 10.0.0.1
и теоритически ;О) будет работать... теоритически. Лично меня ОЧЕНЬ здесь смущает то что 10.0.0.1 - принадлежит мнимой IP-сети, а банкомат - реальной.. может нифига не получиться.  :о\

Ak74 19-11-2003 16:53 72572

Guest 80 247 100
вопрос по ipchains - я добавил правила для цепочки forward. а должен ли я прописывать правила для цепочки input, проверяет ли input пакеты, которые форвардятся? Например, у меня в цепочке input разрешено проходить только пакетам из сети 10.0.0.0

JeweL 19-11-2003 18:37 72573

Ak74
input - пакеты, предназначенные для локальной машины
forward - проходящие
output - сгенерированные на локальной машине
зы. в RTFM не описано???

Guest 80 247 100 20-11-2003 08:05 72574

Ak74, вот JeweL дело молотит! ;о) RTFM foreva!

Ak74 20-11-2003 14:23 72575

Цитата:

JeweL
просветите пожалуста, что такое RTFM? сделал поиск в интернет по этой абревиатуре, но так и не понял что же это...

Guest 80 247 100 20-11-2003 14:28 72576

Read The Fucking %o)) Manual
кароче читай документацию и ЧаВо

JeweL 20-11-2003 14:30 72577

RTFM = Read The F#cking Manual
т.е. читайте man & howto, которых в сети полно, т.к. решать на форуме вопросы, которые хорошо описаны в howto, смысла нет
в частности смотрите на opennet.ru


Время: 01:28.

Время: 01:28.
© OSzone.net 2001-