ROUTE | IPTABLES и маршрутизация

ну если у тебя авторизация через локалку в инет не через mac+ip а через какой-нить pppoe|vpn -тогда да банальный мост между интерфейсами

А если домашнюю сеть не идиоты держат (те авторизация mac+ip) тогда поднимай nat на машине и ходи через него

Хм... да, через mac и/или ip. А с этого места поподробней. Я могу каким-то образом сделать маскарадинг с помощью iptables? если да то как?

http://www.opennet.ru/docs/RUS/iptables/#MASQUERADETARGET

Спасибо, у меня оно уже разпечатанное есть. Но я не админ - я юзер. ну хорошо добавил я команду

iptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to-source 10.45.3.56

Но ничего не изменилось, кста, прошу заметить я хоть и юзер, но помоему применение SNAT в данном случае намного корректнее...

>ptables -t nat -A POSTROUTING -p tcp -o eth0 -j SNAT --to-source 10.45.3.56

>Но ничего не изменилось

форвардинг включить забыл? ;)

>кста, прошу заметить я хоть и юзер, но помоему применение SNAT в данном случае намного корректнее...

так и есть.

> форвардинг включить забыл? ;) Хм... я обратил внимание, что в руководстве тоже пишется, что нужно включить форвардинг в ядре линукса (или где-то рядом =))... Но не написано, что для этого надо сделать.

А как это делается?

если он включается командой

echo "1" > /proc/sys/net/ipv4/ip_forward

то не помогло....

>А если домашнюю сеть не идиоты держат (те авторизация mac+ip) тогда >поднимай nat на машине и ходи через него

а можно с этого места поподробнее,
т.е. по IP/MAC авторизуют НЕ идиоты,
а то что MAC и IP можно поменять одной командой,
это ничего?

>это ничего?

не волнуйся -ты никогда сеть держать не будешь ибо про port-security на коммутаторах не знаешь.

>echo "1" > /proc/sys/net/ipv4/ip_forward

>то не помогло....

тогда дело в чём-то другом. что route -n говорит? запости сюда вывод ifconfig и route -n с твоего шлюза.

>не волнуйся -ты никогда сеть держать не будешь ибо про port-security на коммутаторах не знаешь.

и много есть сейчас домашних сеток на умных свичах? ещё пару лет назад таковых практически нигде не было - что-то кардинально изменилось, и домашние сетки стали использовать свичи с привязками айпи-мак-порт?

>и много есть сейчас домашних сеток на умных свичах?

Почто все сети>2000 юзеров только их и используют тк при таком количестве юзеров pppoe|vpn становятся слишком неудобными

Не надо ограничиваться протоколом tcp:

iptables -t nat -A POSTROUTING -p all -s 192.168.0.10 -j SNAT --to-source 10.45.3.56

на ноуте default gw - этот роутер

ну и показать вывод на роутере iptables -L -n

>Не надо ограничиваться протоколом tcp:

если на то пошло - то вообще нефик ограничиваться, а сразу

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 10.45.3.56 да и всё :)

надо все настройки глянуть (ifconfig и route на шлюзе, и тоже самое на ноуте), тогда можно точно сказать было бы - в чём может быть проблема.

вівод команд таков:

route -n

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface

10.45.3.0 10.45.3.56 255.255.255.0 UG 0 0 0 eth0

10.45.3.0 0.0.0.0 255.255.255.0 U 10 0 0 eth0

192.168.0.0 0.0.0.0 255.255.255.0 U 10 0 0 eth1

127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo

0.0.0.0 10.45.3.2 0.0.0.0 UG 10 0 0 eth0

[root@cluber akim]# ifconfig
eth0 Link encap:Ethernet HWaddr 00:11:3B:04:5E:78
inet addr:10.45.3.56 Bcast:10.45.2.255 Mask:255.255.255.0
inet6 addr: fe80::211:3bff:fe04:5e78/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:5184 errors:0 dropped:0 overruns:0 frame:0
TX packets:3242 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:2530305 (2.4 MiB) TX bytes:249698 (243.8 KiB)
Interrupt:18 Base address:0xcf00

eth1 Link encap:Ethernet HWaddr 00:0B:6A:C2:E6:BA
inet addr:192.168.0.1 Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: fe80::20b:6aff:fec2:e6ba/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:52 errors:0 dropped:0 overruns:0 frame:0
TX packets:12 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:6927 (6.7 KiB) TX bytes:730 (730.0 b)
Interrupt:23 Base address:0xbc00

>iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 10.45.3.56

Хорошая новость: после того как убрал -р -тср начал пинговаться мой интернет-шлюз, однако не более... В связи с этим вопрос: 1) Если пингуется с ноутбука мой основной шлюз - значит ли это, что все должно работать? 2) пакеты которые уходят с измененным соурсадресом они пакуются в эзернет фрейм заново? т.е. он имеет мак адрес моего eth0 интерфейса? 3) Может ли провайдер проверять например TTL пакета или еще-как-то делать выводы о наличии еще одного абонента?

Господа! Здается мне здесь имеет место быть заблуждение, ибо:

1. Когда мы говорим о маршрутизации, то должны подразумевать передачу пакетов (трафика) адресату без изменений. Т.е. адресат пакета должен оставаться реальным IP.

2. Для осуществления этого как минимум Ваш провайдер должен знать Ваш адрес (один реальный) и знать, что через него необходимо передавать весь трафик предназначенный остальным. В Вашем случае к Вам приходит трафик Всех адресов, скажем так, напрямую, что в целом не смертельно.

3. То что делаете Вы - трансляция адресов (NAT). И клиент о своем реальном адресе догадывается по результатам действий в Интернете.

4. Для правильной организации роутинга: - подымаете у себя только один IP; - прописываете на клиентских ПК на сетевых интерфейсах их реальные IP. - прописываете у себя роутинг пакетов через необходимый интерфейс Вашего ПК. (Например с помощью команды route - чистая статика).

Последнее должно было выглядеть как:

4. Для правильной организации роутинга:
- подымаете у себя только один IP;
- прописываете на клиентских ПК на сетевых интерфейсах их реальные IP.
- прописываете у себя роутинг пакетов через необходимый интерфейс Вашего ПК. (Например с помощью команды route - чистая статика).

Интернет ллюз - этот тот роутер, к которому и подключается ноут ? 192.168.0.1 ? По адресу 192.168.0.1 он должен пинговаться и быть доступен независимо от этого правила. Если по адресу 10.45.3.56 - то это хорошо, но еще ничего не значит.

2)да

3) может, но это маловеронятно. TTL корректируется через iptables

А вообще, неплохо бы вывод iptables -L -n увидеть, как я просил выше

имхо, грабли в маршрутах:

у тебя по-ходу отсуствует шлюз по-умолчанию :). на eth0 и на eth1 прописаны разные шлюзы - (eth0 - 10.45.3.56 шлюз для трафика с 10.45.3.0 - ета что такое? твой комп роутит трафик из сети прова в твою локалку? :))) наверное, хотел наоборот? ;) только на eth0 маршрут должен быть такой: destination 0.0.0.0 gateway 10.45.3.2 :). и другие шлюзы тебе не нужны, на eth0 шлюз не нужно указывать вообще. то есть, тебе надо убрать маршрут destination 0.0.0.0 gateway 10.45.3.2 с eth1 и прописать его на eth0.

если никаких правил iptables кроме

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 10.45.3.56

ты не задавал - должно заработать.

ему не нужен бридж, ему нужен НАТ - это же очевидно по постановке вопроса.