Перенаправление трафика [Решено]

wadim4ikk - 13 Декабрь, 2012 - 13:03

Добрый день, дорогие кубунтоводы.
Читаю сообщество около года, но сейчас понял, что требуется ваша помощь.

Итак, суть проблемы. Есть некое абстрактное предприятие.
Есть прокси на Ubuntu Server, раздающий интернет(squid, apt-cacher-ng).
На сервере 3 сетевые карты (ifconfig прилагается)

Развернуть/свернуть скрытый текст.

eth0 Link encap:Ethernet HWaddr 00:80:48:2d:b0:43
inet addr:192.168.1.234 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::280:48ff:fe2d:b043/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:10700538 errors:0 dropped:0 overruns:0 frame:0
TX packets:5866682 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:704424451 (704.4 MB) TX bytes:632354660 (632.3 MB)
Interrupt:23 Base address:0xb800

eth1 Link encap:Ethernet HWaddr 00:19:66:46:d2:2c
inet addr:192.168.77.6 Bcast:192.168.77.255 Mask:255.255.255.0
inet6 addr: fe80::219:66ff:fe46:d22c/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:6634568 errors:0 dropped:0 overruns:0 frame:0
TX packets:11053993 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:691452051 (691.4 MB) TX bytes:1000391637 (1.0 GB)
Interrupt:22 Base address:0xb000

eth2 Link encap:Ethernet HWaddr 00:c0:df:06:3e:ac
inet addr:192.168.88.207 Bcast:192.168.88.255 Mask:255.255.255.0
inet6 addr: fe80::2c0:dfff:fe06:3eac/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:3039743 errors:0 dropped:0 overruns:0 frame:0
TX packets:19166 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:294266676 (294.2 MB) TX bytes:2022176 (2.0 MB)
Interrupt:20 Base address:0xb400

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:73331 errors:0 dropped:0 overruns:0 frame:0
TX packets:73331 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:89863984 (89.8 MB) TX bytes:89863984 (89.8 MB)

Интернет идет с 1ой сети(eth0) на 77(eth1) и 88(eth2)(посредством следующего скриптика)

Развернуть/свернуть скрытый текст.

#!/bin/sh

# Включаем форвардинг пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward

# Разрешаем трафик на loopback-интерфейсе
iptables -A INPUT -i lo -j ACCEPT

# Разрешаем доступ из внутренней сети наружу
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

iptables -A FORWARD -i eth2 -o eth0 -j ACCEPT

# Включаем NAT
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.77.6/24 -j MASQUERADE

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.88.4/24 -j MASQUERADE

# Разрешаем ответы из внешней сети
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

# Запрещаем доступ снаружи во внутреннюю сеть
iptables -A FORWARD -i eth0 -o eth1 -j REJECT

iptables -A FORWARD -i eth0 -o eth2 -j REJECT

# Заворачиваем http на прокси
iptables -t nat -A PREROUTING -i eth1 ! -d 192.168.77.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.77.6:3128

iptables -t nat -A PREROUTING -i eth2 ! -d 192.168.88.0/24 -p tcp -m multiport --dport 80,9090 -j DNAT --to 192.168.88.4:3128

service apt-cacher-ng restart

В 88(eth2) сети есть одна сетевая папка(на сервере Windows), а мне нужно сделать ее видимой в 77(eth1). То есть как-нибудь связать сети 77 и 88. Возможно ли это? Если да, то куда копать?

Заранее благодарен за внимание.

dyug - 13 Декабрь, 2012 - 13:08

Эмм, не совсем понимаю...
если есть "сетевая папка на виндовс" то причем тут прокси ?

как настроен роутинг между сетями 77 и 88?

ответить

wadim4ikk - 13 Декабрь, 2012 - 13:11

Сетевая папка на другом сервере, виндовом, и мне неподконтрольном, располагающимся исключительно в 88 сети. Но он настроен так, что любой из 88 сети(в том числе мой прокси-сервер) может смотреть эту папку. Не хотелось бы водружать на сервер иксы только ради просмотра этой папки, а надобность есть.

ответить

Flameflower - 13 Декабрь, 2012 - 13:42

А на пинг то отвечает вендовый сервер?
Причем пинговать не со стороны шлюза, а кем нибудь из 77 подсети.
Ну и таки вывод команд:
iptables -nvL ip r ip ru

ответить

wadim4ikk - 13 Декабрь, 2012 - 13:46

На пинг отвечает, вывод команд будут завтра, ибо серверы не дома.

ответить

Mike - 13 Декабрь, 2012 - 14:06

так ты с сервера комп видишь, просто по смб на папку зайти не можешь?? так зачем ты нам тогда своими сетями голову морочишь? или тебе надо не с сервера, а с любой тачки 77-й сети ходить на эту банку в 88-й? Сформулируй идею более внятно.

ответить

wadim4ikk - 13 Декабрь, 2012 - 14:18

тебе надо не с сервера, а с любой тачки 77-й сети ходить на эту банку в 88-й?
Именно так

ответить

Flameflower - 13 Декабрь, 2012 - 14:12

Ну коли отвечает на ICMP-запросы из 77 подсети то и маршрутизация настроена корректно.
Проверяй настройки firewall'a. Причем на каждой из 3-х сторон. Есть предположение, что антивирусы обрезают входящий трафик, который не находится в их подсети.

ответить

wadim4ikk - 14 Декабрь, 2012 - 12:01

Я поторопился, пинга с 77 подсети на этот сервак в 88 нет.
Но, что примечательно, прокси 192.168.1.1 с нее пингуется.

ответить

wadim4ikk - 13 Декабрь, 2012 - 14:22

Не думал, что тема кого-то заинтересует. Уже спасибо.)
Завтра все попробую, отпишусь о результатах.

ответить

wadim4ikk - 15 Декабрь, 2012 - 13:13

Проблема решилась.
Все решили три строки, взятые из того же скрипта, немного измененные:

iptables -t nat -A POSTROUTING -o eth2 -s 192.168.77.6/24 -j MASQUERADE iptables -A FORWARD -i eth2 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -i eth1 -o eth2 -j ACCEPT

Спасибо всем, кто принимал участие, может кому-то это потом будет полезно.

ответить

Mike - 15 Декабрь, 2012 - 13:39

Поздравляю! И позор мне на мою седую голову - дернули меня черти исправить мой комментарий с прямого на кривой! =))

ответить

Flameflower - 15 Декабрь, 2012 - 19:49

OMFG! Зачем натить то?

ответить

wadim4ikk - 15 Декабрь, 2012 - 22:15

Имею ограниченный опыт, скрипт является дополненной и отлаженной кувалдой версией с просторов сети. Я рассудил, что если до первой сети пинги идут, надо просто сделать так же. :)

Утешаю себя тем, что как-нибудь соберусь с силами и изучу все тонкости iptables. :)

Что примечательно, без
iptables -t nat -A POSTROUTING -o eth2 -s 192.168.77.6/24 -j MASQUERADE

ничего не заработало.

ответить

Flameflower - 15 Декабрь, 2012 - 22:56

Господи... У тебя же сети напрямую подключены к прокси-серверу.
Ну укажи ты в firewall'e правило
iptables -A FORWARD -j ACCEPT -s 192.167.77.0/24 -d 192.168.88.0/24 iptables -A FORWARD -j ACCEPT -s 192.167.88.0/24 -d 192.168.77.0/24
И на этом настройка твоего прокси будет завершена.
Далее проверяешь настройки firewall'a на своем вендозном сервере.
Или говнякаешь в консоли эту команду:
netsh advfirewall firewall add rule name="Some_name" dir=in action=Allow profile=any remoteip=192.168.77.0/24

ответить

Отправить комментарий

Формат ввода

Доступны HTML теги: <h1> <h2> <h3> <h4> <h5> <h6> <a> <img> <em> <u> <hr> <strong> <b> <s> <cite> <q> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br> <p> <table> <tr> <td>
Строки и параграфы переносятся автоматически.
Используйте <code>...</code> для вставки кода в сообщения
Используйте [collapse] и [/collapse] для сворачиваемого текстового блока. [collapse collapsed] или [collapsed] для изначально свернутого блока.
Для вставки видео используйте [video:URL]

Подробнее о форматировании