Ещё одна тема про шлюз %)

Добрый день всем. Надеюсь на вашу помощь. Задался целью логировать посещения пользователей в инете. Вы можете кидаться всем чем хотите, но наглядность и удобность использования не заменить ничем, поэтому прикрутил вэб морду с сквиду и саргу. Отчёты генерились, добился чего хотел. + кэширование инета заметно ускоряет работу. Но возникла проблема с почтой на компах в сетке - ни доставка ни отправка не работают. К тому же перестал работать клиент видеонаблюдения. Сбросив все правила iptables и установив всё на РАЗРЕШИТЬ и прописав в конфиге сквида безопасные порты 25, 110, 143 проблему не решил. Самое что интересное, почта принималась изначально, устанавливал соединение скайп и аська (qip и icq), работал банк-клиент центр-инвест-онлайн. Отвалилась лишь почта. Причём на самом шлюзе Thunderbird (он же стоит у большинства пользователей, так же стоит The Bat) с ящиков к которым невозможно было установить подключение с компов пользователей, почту получал. И потерял коннект клиент с видеонаблюдением (комп [b](2)[/b]
на рисунке). Собственно и вопрос: где искать проблему?

Топология приведена на картинке. Поясню:
1 - видеорегистратор - наблюдение офиса локальное. к нему иногда подключаются из вне.
(192.168.0.5)

2 - комп с клиентом видео-наблюдения на компе (коннектится к такому же удалённому регистратору) - наблюдают сторожа за складом на другом конце города.
(192.168.0.3)

3 - dir-320 с выключенным DHCP и WiFi- просто как хаб.
(192.168.0.4)

4 - DES 1228 - основной хаб сети, к которому подключены проводные клиенты сети (в том числе сервер терминалов).

5 - Asus DSL N12U - принимает подключения от беспроводных клиентов и является сервером DHCP.
(192.168.0.1)

6 - собсно шлюз на Ubuntu.
eth0 (в инет) - (192.168.1.2)
eth1 (в Lan) - (192.168.0.2)

7 - ещё один Asus DSL N12U, звонит в инет в качестве роутера, через него же осуществляется проброс портов на регистратор и сервер терминалов (об этом вопрос ниже).
(192.168.1.1)

Сеть со шлюзом:

В настоящий момент всё функционирует как и ранее по схеме ниже - нормально, после отключения шлюза.
Сеть без шлюза:

Так вот, господа прошу помощи в решении сей проблемы. + прошу помочь настроить проброс портов на шлюзе для сервера терминалов и видеорегистратора.

Напомню, что на данный момент он осуществлён по средствам Virtual Server на роутере [b](5)[/b]. Меня устроит вариант, когда шлюз будет полностью прозрачен и проброс можно будет осуществить так же с роутера [b](7) [/b]сквозь шлюз, если это возможно. Либо же объясните, как можно сделать проброс по средствам файрвола Ubuntu, но звонить должен именно сам модем [b](7)[/b].

На шлюзе стоит:
squid 3.1, sarg 2.3.2, webmin 1.610, ubuntu 12.10 (3.5.022-generic i686). Форвардинг портов установил в 1 (/etc/sysctl.conf, net.ipv4.ip_forward = 1).

squid.conf

iptables -L

0
dyug - 30 Январь, 2013 - 15:16

После того, как я посмотрел на рисунки возник вопрос: а на...?
Не понимаю смысла 6 и 7 на рисунке.

Зачем минимум еще 2 маскарада строить?
как вариант: перевести асус дсл в режим конвертера интерфейса и авторизовать все на убунте.
и уже на убунте пробрасывать порты в сеть на в|н

Другой вариант: запретить всем ходить в инет через роутер Асус и (см.выше)

0
volozub - 30 Январь, 2013 - 16:40

<Задался целью логировать посещения пользователей в инете.>
ответ на твой вопрос.

<как вариант: перевести асус дсл в режим конвертера интерфейса и авторизовать все на убунте.
и уже на убунте пробрасывать порты в сеть на в|н>

ты имеешь ввиду (7), т.е. тот который сейчас звонит прову? не вариант. был печальный опыт с поднятием PPPoE со шлюза. Заплатили деньги, настроили шлюз, довести до ума не довели, деньги взяли. Обоснованием с переводом модема в режим брижда было тем же самым - дополнительный гемор в пробросе портов. Ответ прост: причина - не доверяю. Доверяю проверенному. Ещё раз оговорюсь - сверх защиты не надо - нужен полностью прозрачный прокси.

И пожалуйста, не тратье своё время и моё на не содержательные ответы своими вопросами типа "А на][@я казе баян?!...". ...у каждого свой сарафан.

0
dyug - 30 Январь, 2013 - 17:13

гмм, странно, у меня таких с 4 разных провайдера системы, и на всех ппое работает.
Но это не относится к делу.

К делу относится только одно зачем два (а точнее три) последовательных устройства выполняющих функцию маскарада?

ибо маскарадит похоже устройство 7, потом устройство 6, потом устройство 5. Во всяком случае если верить рисунку.

то есть порты нужно пробрасывать на всех трех устройствах.
а избавиться хотя бы от устройства 5?
ибо для проброса портов снаружи необходимо иметь внешний ИП адрес, который есть физически только на устройстве 7.
после чего, заворот через прокси (на устройстве 6) все пробросы автоматом отменяет.

в схеме с с компом - куда включен кабель лан ? в какой порт какого устройства (Асус 5 или свитч)
Если в порт ван Асус (5) то я даже не скажу сразу как сие реализовать.

Хотя у меня дхцп сервер великолепно живет на убунте сервере, она же пппое клинет к провайдеру, там же проброшены порты на некоторые внутренние сервисы.

Как настроить - могу рассказать.
Как настроить твою схему - еще не придумал. Но очень извращенно.

0
Cyber100 - 4 Февраль, 2013 - 22:30
Изображение пользователя Cyber100.

не нашел, где правильно ответить.

ТС, мой Вам совет, не претендующий на оригинальность == "мутите" данное на чистом дебиане. ежели лень присутствует руками конфы править- существует зентяль.) очень недурственно крайнее время, аки дистриб для маршрутизаторов отрабатывает.

0
rod - 30 Январь, 2013 - 18:05

Неправильный дизайн сети при добавлении сервера убунту. Не плодите лишних сущностей... и тараканы/сарафаны тут ни при чем.
Топологию сети так построить можно, но... не нужно

upd.Это что-то типа дмз хочет автор сделать....ладно - бог с ним.
1) у 5-го тоже должно быть 2 ип-адреса.
2) 5 - почему дсл? Это нарисовано у вас так, а по факту - все в лан включено. А каком пробросе портов можно вообще говорить.

0
volozub - 31 Январь, 2013 - 08:46

номер 5 необходим как точка беспроводного доступа компам, которые не имеют физической возможности быть подключёнными по проводу и являются частью локальной сети. не имеется другого устройства, используется это.

На сколько понял правильнее будет сделать так?

rod, спасибо что напомнил про DMZ. на роутере есть возможность её настройки. как я понимаю если указать в DMZ адрес eth0 смотрящего в инет, то проблема с пробросом будет решена и останется только создать правило iptables?

0
rod - 31 Январь, 2013 - 14:42

Сервак убунтовский втыкать в длинк - это да. (роль 5 в вашем рассказе была сильно преувеличина).
Из того что я видел -дмз-хост (дмз-адрес) в настройках роутера - это вот что - это роутеру говориться что все натить на этот адрес. Это для случая, если вы хотите обращаться к серваку извне (управление, www и т.п.). Я думаю это немнаго не то, что вам нужно. Кто в сети шлюз по умолчанию? 5? Имхо д.б. Сервак убунтовский. Опять же - без того что пакет неминуемо идет через сервер, нет смысла в пробросе.... и мы видим что так и есть - интернето-приложения работают (их сквид отрабатывает), а почта нет, потому что хост лвс обращается "не туда".

0
volozub - 31 Январь, 2013 - 16:44

Всё верно, проблема с почтой была именно в неверном адресе шлюза. Видимо истекло время аренды адресов DHCP... Переткнул 5 в общий хаб как на последнем рисунке.

Осталось решить проблему с пробросом. Могу сказать, что выполнить его удалось даже через роутер со шлюзом - т.е. на роутере 7 проброс на внешний интерфейс eth0 порта ХХХ, а на шлюзе с eth0 на сервер RDP. Но непонятно почему правила теряют свою силу...

Пробпасывал так:
iptables -t nat -A PREROUTING -p tcp -d IP_Внешн --dport ХХХ -j DNAT --to-destination IP_RDP:3389
iptables -A FORWARD -i eth0 -d IP_RDP -p tcp --dport 3389 -j ACCEPT

где
ХХХ - порт на который стучатся из внешки.
IP_Внешн - адрес сетевой которая смотрит в инет.
IP_RDP - адрес сервера терминалов.
eth0 - сетевая которая смотрит в инет.

на данный момент iptables-save показывает:

[email protected]:/home/vo# iptables -L

У кого какие идеи есть?
0
dyug - 31 Январь, 2013 - 16:55

эмм... тебе проброс (на убунте) нужно делать НЕ с внешнего ИП а с внутреннего ИП роутера 7. Номера портов можно сохранить.
на роутере 7 тебе нужен порт не внутри системы (который РДП сервер) а на адрес сервера убунты

то есть - сигнал(пакет) с интернета приходит в любом случае сначала на роутер 7, он должен его пробросить в сеть ДМЗ (в которой есть одна убунта, правильно?) но с адресом же сети ДМЗ(то есть на ип 192.168.1.2), а уже убунта пробрасывает его внуть локальной сети. но с адреса сети ДМЗ. (то есть с адреса 192.168.1.1)

У тебя же на роутере 7 нет твоей локальной сети (192.168.0.0/24), а только сеть ДМЗ (192.168.1.0/24) (маска сети /24 задана условно и соответствует 255.255.255.0 )

точно также, у тебя на сервере убунту нет внешнего ИП, а есть только локальная сеть (192.168.0.0/24) и сеть ДМЗ (192.168.1.0/24)

Уфф. кажется исправил. И даже понял. :-)

0
volozub - 1 Февраль, 2013 - 10:47

Да, именно так всё и делал, говорю же что работало )) Но почему перестало понять не могу.совет нужен теперь именно в пробросе порта на самой машине шлюза.

Отправить комментарий

CAPTCHA на основе изображений
Введите цифры