iptables Перенаправление трафика

0

1

Добрый день! Прошу помощи, так как уже не знаю куда копать.

Есть сеть предприятия, все компы которой подключены к неуправляемому комутатору. Сюда же подключен прокси сервер, который получает интернет и таким образом раздает в локалку. Сюда же подключен модем, через который осуществляется доступ на специальные сайты организации. На робочих машинах в локалке прописывался шлюз по умолчанию 10.0.0.1 (коим и является модем для доступа к спец-сайтам) и указывался прокси сервер 10.0.0.99 (через который все ходят в интернет).

Захотел заменить винду на прокси сервере, поставл Debian, настроил Squid, iptables. На робочих машинах в локалке прописал шлюз по умолчанию 10.0.0.99. интернет есть, а вот доспупа к спец-сайтам нету. Оно и понятно. Попытался перенаправить определенный трафик на 10.0.0.1 с помощью DNAT, но доступа так же нет.

Прошу обьяснить, почему рабочая машина в локалке не может связаться с 10.0.0.1, если я перенаправляю трафик на 10.0.0.1. Не может ли быть так, что 10.0.0.1 получает пакеты от 10.0.0.99, отправляет ответ, а 10.0.0.99 не знает что с ними делать и дропает их? Если так, то не можно ли перенаправить пакеты на 10.0.0.1 без изменения адреса источника, что б 10.0.0.1 думал, что пакеты пришли от рабочей машины в локалке и ответ слал туда-же.

Не пинайте сильно за нубство,я только начинаю вникать в это все. И не могу понять этот момент.

Ссылка

←	snmptrapd дважды вызывает traphandle

Киньте мне гайдом в хлебальник пожалуйста

→

На мой взгляд, будет лучше воткнуть в Debian шлюз еще одну сетевую карту и подключить к ней этот модем. Тогда шлюз будет маршрутизировать инет и спецсайты.

funky ★
(21.02.19 14:32:12 MSK)

Ответ на: комментарий от funky 21.02.19 14:32:12 MSK

Там уже 3 сетевухи: 1 - Поключение к Интернет 2 - Подключение к спецсайтам 3 - Подключени к локалке

Я тоже думал так заведется, но модем (точнее там adsl модем, после которого идет Cisco 881) не желает выдавать сетевухе IP. Думал статическим обойтись. Назначаю, и в ответ Cisco ничего. Не пингуется, сайты не работают. Но я подозреваю, что я не могу правильно настроиль 2 сетевухи для приема трафика.

ЗЫ Cisco настривала высшестоящая организация, так чо я даже посмотреть конфигурацию не могу.

Alkantel
(21.02.19 15:20:05 MSK) автор топика

Когда такое пишите, то сразу показывайте минимум : ip r, iptables -L -n . Разметка на LORE тут - www.linux.org.ru/help/lorcode.md.

anonymous
(21.02.19 15:24:35 MSK)

Ответ на: комментарий от Alkantel 21.02.19 15:20:05 MSK

А что было на рабочей винде?
ipconfig
route print

hbars ★★★★★
(21.02.19 16:01:24 MSK)

Ответ на: комментарий от hbars 21.02.19 16:01:24 MSK

Выводы под спойлером

Вывод ipconfig

DNS-суффикс подключения . . . . . :
   IPv4-адрес. . . . . . . . . . . . : 10.6.85.212
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз. . . . . . . . . : 10.6.85.1

Вывод route print

===========================================================================
Список интерфейсов
 16...00 25 22 eb 09 c1 ......Realtek PCIe GBE Family Controller
  1...........................Software Loopback Interface 1
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0        10.6.85.1      10.6.85.212    291
        10.6.85.0    255.255.255.0         On-link       10.6.85.212    291
      10.6.85.212  255.255.255.255         On-link       10.6.85.212    291
      10.6.85.255  255.255.255.255         On-link       10.6.85.212    291
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    331
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    331
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    331
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    331
        224.0.0.0        240.0.0.0         On-link       10.6.85.212    291
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    331
  255.255.255.255  255.255.255.255         On-link       10.6.85.212    291
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
          0.0.0.0          0.0.0.0        10.6.85.1  По умолчанию
===========================================================================

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
 Метрика   Сетевой адрес            Шлюз
  1    331 ::1/128                  On-link
  1    331 ff00::/8                 On-link
===========================================================================
Постоянные маршруты:
  Отсутствует

Alkantel
(21.02.19 17:48:39 MSK) автор топика

Ответ на: комментарий от Alkantel 21.02.19 17:48:39 MSK

Чет спойлер не сработал =/

Alkantel
(21.02.19 17:49:11 MSK) автор топика

Ссылка

Ответ на: комментарий от anonymous 21.02.19 15:24:35 MSK

ip r

default via 10.6.85.1 dev enp1s5 onlink
10.6.85.0/24 dev enp1s8 proto kernel scope link src 10.6.85.99 linkdown
10.6.85.0/24 dev enp1s5 proto kernel scope link src 10.6.85.99

Alkantel
(21.02.19 17:53:38 MSK) автор топика

Ответ на: комментарий от Alkantel 21.02.19 17:53:38 MSK

10.6.85.0/24 локальная сеть 10.6.85.99 адрес интерфейса смотрящего в локалку 10.6.85.1 адрес Cisco 10.6.85.212 адрес компа в локальной сети Опечатался

10.6.85.0/24 dev enp1s5 proto kernel scope link src 10.6.85.100

Alkantel
(21.02.19 18:40:34 MSK) автор топика

Не пинайте сильно за нубство,я только начинаю вникать в это все. И не могу понять этот момент.

Тогда предлагаю почитать как минимум следующие вещи: NET-3-HOWTO и Iptables Tutorial.

Infra_HDC ★★★★★
(21.02.19 19:31:34 MSK)

Ссылка

Ответ на: комментарий от Alkantel 21.02.19 18:40:34 MSK

Вы говорили о трех сетевухах. Я их не вижу.

hbars ★★★★★
(21.02.19 22:23:32 MSK)

Ответ на: комментарий от hbars 21.02.19 22:23:32 MSK

Отключил. Хотел рабтать с только с сетевухой поключенной к Cisco. Завтра выложу правила iptables и выводы команд с 3мя сетевыми интерфейсами.

Alkantel
(21.02.19 23:38:03 MSK) автор топика

Ответ на: комментарий от Alkantel 21.02.19 23:38:03 MSK

У вас получается ассимитричная маршрутизация:

1. пакеты с адресом назначения спецсайта приходят с клиентов на шлюз по умолчанию - ваш сервер

2. ваш сервак отправляет пакеты на циску

3. циска пуляет пакеты на спецсайт

4. с спецсайта приходит ответ на циску

5. циска видит что с спецсайта на адрес клиента приходит пакет и отправляет пакет напрямую клиенту минуя ваш сервер, т.к. циска находится в том же сегменте сети что и клиенты

gfh ★★★
(22.02.19 08:27:19 MSK)
Последнее исправление: gfh 22.02.19 08:27:55 MSK (всего исправлений: 2)

Ответ на: комментарий от gfh 22.02.19 08:27:19 MSK

Тогда, как я понимаю, толко подключать Циску к Линукс серверу и уже пусть он все пакеты пробрасывает туда-сюда. Иначе никак.

Alkantel
(22.02.19 09:29:50 MSK) автор топика

Ссылка

Ответ на: комментарий от Alkantel 21.02.19 23:38:03 MSK

Ну так может сделать роутер и разные сети с натом. Что возможно и было на винде.

hbars ★★★★★
(22.02.19 11:32:43 MSK)

Ответ на: комментарий от hbars 22.02.19 11:32:43 MSK

Что Вы имеете в виду? Что б Линух работал как роутер или поставить роутер туда?

Alkantel
(22.02.19 12:58:19 MSK) автор топика

Ответ на: комментарий от Alkantel 22.02.19 12:58:19 MSK

Настроить маршрутизацию например так: между сервером и циской своя подсетка, на циске добавлен маршрут до клиентов через сервер, на сервере добавлен маршрут до спецсайтов через циску, на циске нет прямого подключения к клиентской сети.

gfh ★★★
(23.02.19 10:32:04 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	snmptrapd дважды вызывает traphandle

Admin

Киньте мне гайдом в хлебальник пожалуйста

→

Похожие темы