LINUX.ORG.RU
ФорумAdmin

ipchains — правила для локальной сети


0

0

Подскажите правило ipchains, а то машины из сетки 192.168.1.0/24 не могут достучаться до машины 192.168.0.2/32, я так понимаю, что на маршрутизаторе 192.168.0.1--eth0,192.168.1.0--eth1 нужно НУЖНОЕ правило включить. Какое?

anonymous

Для начала сообщи:
- включен ли форвардинг
- настроена ли маршрутизация
- работает ли связь этих машин при открытом ipchains

anonymous
()

форвардинг включен
маршрутизация -- ?
как проверить связь?
ping(ом) не отвечает.
До маршрутизатора все хорошо работает
Из сетки 192.168.1.0/24 юзеры в инет ходят, но только те, кому можно по
правилу: 
ipchains -A forward -s 192.168.1.10 -j MASQ
а мне теперь надо чтобы вся сетка могла ходить к машине 192.168.0.2 для
почты и см.внутренний сайт.

anonymous
()

добавил
route add -net 192.168.1.0/24 gw 192.168.0.1
не помогло :-(((

anonymous
()

Правило:
> ipchains -A forward -s 192.168.1.10 -j MASQ
разрешает ходить в инет только одной машине, с ip=192.168.1.10
правило для сети должно выглядеть так:
ipchains -A forward -s 192.168.1.0/24 -j MASQ

Чтобы разрешить юзерам обращаться к 192.168.0.2, добавь правило:
ipchains -A forward -s 192.168.1.0/24 -d 192.168.0.2 -b -j ACCEPT

Связь проверять конечно пингом, если ты прописал на сервере 192.168.0.2 шлюз по-умолчанию и в целях безопасности не запретил ему отвечать на пинг ;).

anonymous
()

спасибо!

anonymous
()

ipchains -A forward -s 192.168.1.0/24 -d 192.168.0.2 -b -j ACCEPT
попробовал, но результат отрицательный, а вот
ipchains -A forward -s 192.168.1.0/24 -d 192.168.0.2 -b -j MASQ
дает все, что я и хотел, только в логах все машины отображаются с
адресом 192.168.0.1, что, впрочем понятно.
Проясните, пожалуйста!

anonymous
()

Дело, видимо, в том, что ключ "-b" не работает в цепочке forward, т.е. "bidirectional" правила не включается, т.е. пакеты из сети 192.168.1.0 проходят к серверу 192.168.0.2, а обратно - нет.

Поэтому, чтобы работало, нужно добавить два правила:
ipchains -A forward -s 192.168.1.0/24 -d 192.168.0.2 -j ACCEPT
ipchains -A forward -s 192.168.0.2 -d 192.168.1.0/24 -j ACCEPT

Правило с целью MASQ работает в обе стороны, указывать в нем ключ "-b" ни к чему.

anonymous
()

что-то не так у меня,

а если выше стоит правило:

ipchains -A forward -s 192.168.0.0/24 -j MASQ,

а после него:

ipchains -A forward -s 192.168.1.0/24 -d 192.168.0.0/24 -j ACCEPT

ipchains -A forward -s 192.168.0.0/24 -d 192.168.1.0/24 -j ACCEPT

не влияет ли это <стр.3>?

anonymous
()

Возможно. Правило с MASQ более общее. Попробуй ACCEPT-ы поставить перед MASQ.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.