LINUX.ORG.RU
ФорумAdmin

Маршрутизация через CentOS 6.5

 , , ,


0

1

помогите с маршрутизацией.

Имеется сервер CentOS6.5 с двумя сетевыми интерфейсами eth0, eth1

IPADDR eth0: 10.77.77.11 IPADDR eth1: 192.168.21.39

LAN1 (10.77.77.0/24)<-->(eth0) CentOS 6.5 (eth1) <--> LAN2

Вот правила iptables на CentOS 6.5 

 
# iptables -nvL
Chain INPUT (policy DROP 135 packets, 11163 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           ctstate NEW tcp flags:!0x17/0x02
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
  667 32154 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0           state RELATED,ESTABLISHED
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0           tcp dpt:80
    2   168 ACCEPT     all  --  *      *       10.77.77.0/24        0.0.0.0/0
    0     0 ACCEPT     tcp  --  *      *       192.168.21.0/24      0.0.0.0/0           tcp dpt:22
Chain FORWARD (policy ACCEPT 17 packets, 1196 bytes)
 pkts bytes target     prot opt in     out     source               destination
  748 63236 ACCEPT     all  --  eth0   eth1    0.0.0.0/0            0.0.0.0/0

вот маршруты на CentOS 6.5 

# route -v
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.77.0.2       *               255.255.255.255 UH    0      0        0 tun1
10.77.77.0      *               255.255.255.0   U     0      0        0 eth0
192.168.21.0    *               255.255.255.0   U     0      0        0 eth1
10.77.0.0       10.77.0.2       255.255.255.0   UG    0      0        0 tun1
link-local      *               255.255.0.0     U     1002   0        0 eth0
link-local      *               255.255.0.0     U     1003   0        0 eth1
default         192.168.21.3    0.0.0.0         UG    0      0        0 eth1

При попытке пинговать с одной из машин (10.77.77.13) в сети LAN1 в сторону LAN2 на машину (192.168.21.30) нет результата.

Вот кусок дампа: 

17:22:31.170145 IP s3 > 192.168.21.30: ICMP echo request, id 57934, seq 562, length 64
17:22:32.170226 IP s3 > 192.168.21.30: ICMP echo request, id 57934, seq 563, length 64
17:22:33.170308 IP s3 > 192.168.21.30: ICMP echo request, id 57934, seq 564, length 64
17:22:34.170358 IP s3 > 192.168.21.30: ICMP echo request, id 57934, seq 565, length 64
17:22:35.170409 IP s3 > 192.168.21.30: ICMP echo request, id 57934, seq 566, length 64
17:22:36.170451 IP s3 > 192.168.21.30: ICMP echo request, id 57934, seq 567, length 64
17:22:37.170554 IP s3 > 192.168.21.30: ICMP echo request, id 57934, seq 568, length 64
17:22:38.170632 IP s3 > 192.168.21.30: ICMP echo request, id 57934, seq 569, length 64
17:22:39.170731 IP s3 > 192.168.21.30: ICMP echo request, id 57934, seq 570, length 64

Что нужно сделать чтобы все заработало?

Спасибо!

Веб-морда для руления kvm с возможностью установки на хост
разрешить Skype через Squid

Дополнение: шлюз по умолчанию для машин в сети LAN1 => 10.77.77.11 шлюз по умолчанию для машин в сети LAN2 => 192.168.21.3 (здесь прописан маршрут для 10.77.77.0 на 192.168.21.39)

машины с LAN2 успешно пингуют машины в LAN1 но машины с LAN1 не могут пинговать машины в LAN2

Ilianapro
() автор топика

0 0 ACCEPT tcp  — * * 192.168.21.0/24 0.0.0.0/0

ну это правило для tcp, а где у тебя правило для всего остального? В частности пинги это icmp.

emulek
()
Ответ на: комментарий от emulek

мне бы понять какие каким образом можно реализовать маршрутизацию и что для этого используется.

Как я понимаю для этого нужны соответствующие настройки в: iptables route и что еще надо?

Ilianapro
() автор топика
Ответ на: комментарий от emulek

попробовал добавить ICMP:

iptables -A INPUT -s 192.168.21.0/24 -p icmp -m icmp -j ACCEPT

все равно не пингует с сети LAN1 -> LAN2

подскажите какие правила нужно прописывать в iptables чтобы заработала маршрутизация: LAN1 (10.77.77.0/24) <--> CentOS6.5 <--> LAN2 (192.168.21.0/24)

Ilianapro
() автор топика
Ответ на: комментарий от Ilianapro

1. iptables route == не нужно (в смысле ВООБЩЕ не нужно). Выкидывайте свой букварь.

2. ip r, ip a. Не заморачивайтесь с вашими не нужными костылями. Ими сейчас пользуются только администраторы-мудаки.

3. ну и почитайте чего-нить классическое. Книжек много на эту тему есть...

emulek
()
Ответ на: комментарий от Ilianapro 
    2   168 ACCEPT     all  --  *      *       10.77.77.0/24        0.0.0.0/0
    0     0 ACCEPT     tcp  --  *      *       192.168.21.0/24      0.0.0.0/0           tcp dpt:22

тут не добавлять надо, а исправлять. Видите? Для первой сетки all, для второй tcp-only.

emulek
()
Ответ на: комментарий от kostik87

[note] 192.168.21.3 «знает», что сеть 10.77.77.0 доступна через 192.168.21.39 ? [/note]

да знает на нем прописано правило. с LAN2 успешно пингует LAN1 через 192.168.21.3->192.168.21.39

Ilianapro
() автор топика
Ответ на: комментарий от Ilianapro

что именно надо исправлять?

hz

покажите iptables-save. Я не новичок, а простой тролль и мимокрокодил.

emulek
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Веб-морда для руления kvm с возможностью установки на хост
Admin
разрешить Skype через Squid