Prihlásiť sa Odoslať Novinky :: FAQ :: Rozšírené vyhľadávanie :: Napísali o nás :: Ankety
Main Menu
· Home
· 
· FAQ
· 
· Diskusia
· 











Main Menu
· Domov

Moduly
· AvantGo
· Downloads
· FAQ
· News
· Recommend Us
· Reviews
· Search
· Sections
· Stats
· Topics
· Top List
· Web Links
· Forum

Jazyk
Výber jazykovej mutácie:



The time now is 28.03.2024 - 10:12


routovanie

Post new topic Reply to topic
View previous topic Printable version Log in to check your private messages View next topic
 
Author Message
shock
Post subject: routovanie  PostPosted: 19.02.2011 - 19:45 #88667
Basic


Joined: Apr 14, 2004
Posts: 92

zdravim,

mam pc, ma 3 iface, 2 in, 1 out

iface 1: 10.10.10.1/24
iface 2: 10.20.20.1/24
eth0 : 10.30.30.2/24

default gw je 10.30.30.1

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 10.30.30.2

tato verzia funguje

avsak pridam virtualny ext iface

ifconfig eth0:1 10.40.40.2 netmask 255.255.255.0 broadcast 10.40.40.255
potrebujem z rozhrania iface 1 vsetko presmerovat na eth0:1, avsak s tym, aby vystup bol 10.40.40.2, nie 10.30.30.2

skusal som

route add -net 10.40.40.0 netmask 255.255.225.0 gw 10.40.40.1
pridat pridalo, ale 10.40.40.1 nepingam

mate niekto napad???

potrebujem to na tom istom rozhrani

za kazdu radu dakujem
 
 View user's profile Send private message Visit poster's website ICQ Number 
Reply with quote Back to top
eXplorer
Post subject: RE: routovanie  PostPosted: 19.02.2011 - 20:08 #88668
Majster


Joined: Feb 25, 2003
Posts: 2606
Location: BA,BB
shock: zalezi na poradi pravidiel, prvym pravidlom ( iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 10.30.30.2 ) si vsetko zNATujes na 10.30.30.2, k druhemu NATu to uz neprejde ...

Riesenie je pridat NAT pre 10.40.40.2 ako prve pravidlo, musis tiez ale zadefinovat ze toto prve pravidlo sa tyka len segmentu z eth1 v opacnom pripade si zase vsetko zNATujes na 10.40.40.2, rieseni je viac

Quote: ›
iptables -t nat -A POSTROUTING -i eth1 -o eth0 -j SNAT --to-source 10.40.40.2

alebo
Quote: ›
iptables -t nat -A POSTROUTING -o eth0 -s 10.10.10.0/24 -j SNAT --to-source 10.40.40.2

alebo
Quote: ›
iptables -t nat -A POSTROUTING -i eth1 -o eth0 -s 10.10.10.0/24 -j SNAT --to-source 10.40.40.2


a dalsie pravidlo v poradi bude to povodne pravidlo

Quote: ›
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 10.30.30.2


Routu co si pridal vyhod, nie je potrebna. No ak vsak budes chciet routovat segment 10.10.10.0/24 cez 10.40.40.1 budes potrebovat rozbehat tzv policy based routing. A nezabudni pred pridavanim novych pravidiel tie stare zmazat Wink
Quote: ›
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
shock
Post subject: RE: routovanie  PostPosted: 20.02.2011 - 00:20 #88671
Basic


Joined: Apr 14, 2004
Posts: 92

problem nie je s natom, pravidlo co som pisal, je uplne posledne, predtym pridavam cez -I na 10.40.40.2, nexcel som to rozpisovat, ale vsetko co si pisal mam.

problem je, ze z danej masiny, ktora natuje sa nedopingam na 10.40.40.1, ping sam na seba mam 10.40.40.2 ale na branu nie
 
 View user's profile Send private message Visit poster's website ICQ Number 
Reply with quote Back to top
ewew
Post subject: RE: routovanie  PostPosted: 20.02.2011 - 13:30 #88674
Basic


Joined: Sep 02, 2009
Posts: 433

Príklad

reťaz FORWARD
iptables -A FORWARD -i eth0 -o eth1.0 -s 192.168.254.0/24 -j ACCEPT
iptables -A FORWARD -i eth1.0 -o eth0 -s ! 192.168.254.0/24 -m state --state ESTABLISHED -j ACCEPT

reťaz POSTROUTING
iptalbles -t nat -A POSTROUTING -o eth1.0 -s 192.168.254.0/24 -j SNAT --to-source 192.168.210.1

Dúfam, že to pomohlo.
 
 View user's profile Send private message  
Reply with quote Back to top
pixall
Post subject: RE: routovanie  PostPosted: 20.02.2011 - 23:50 #88676
Majster


Joined: Okt 21, 2003
Posts: 4247

shock wrote: ›problem nie je s natom, pravidlo co som pisal, je uplne posledne, predtym pridavam cez -I na 10.40.40.2, nexcel som to rozpisovat, ale vsetko co si pisal mam.

problem je, ze z danej masiny, ktora natuje sa nedopingam na 10.40.40.1, ping sam na seba mam 10.40.40.2 ale na branu nie


a nie je to nejake divne? ak dobre rozumiem tak na eth0 mas pripojenu nejaku LAN siet v ktorej lezi aj 10.30.30.1 aj 10.40.40.1, pricom to su dve default gatwaye. zeby dvaja provideri? ak su to dvaja rozni provideri tak to takto jednoducho nepojde. robi sa to viacerymi routovacimi tabulkami, markovanim paketov a hadzanim do jednej z tych dvoch routovacich tabuliek. ma to viac zaludnosti, nic trivialne. vysvetli radsej o co ti vlastne ide, co potrebujes dosiahnut / vyriesit.
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
shock
Post subject: RE: routovanie  PostPosted: 21.02.2011 - 15:49 #88679
Basic


Joined: Apr 14, 2004
Posts: 92

pixall wrote: ›
shock wrote: ›problem nie je s natom, pravidlo co som pisal, je uplne posledne, predtym pridavam cez -I na 10.40.40.2, nexcel som to rozpisovat, ale vsetko co si pisal mam.

problem je, ze z danej masiny, ktora natuje sa nedopingam na 10.40.40.1, ping sam na seba mam 10.40.40.2 ale na branu nie


a nie je to nejake divne? ak dobre rozumiem tak na eth0 mas pripojenu nejaku LAN siet v ktorej lezi aj 10.30.30.1 aj 10.40.40.1, pricom to su dve default gatwaye. zeby dvaja provideri? ak su to dvaja rozni provideri tak to takto jednoducho nepojde. robi sa to viacerymi routovacimi tabulkami, markovanim paketov a hadzanim do jednej z tych dvoch routovacich tabuliek. ma to viac zaludnosti, nic trivialne. vysvetli radsej o co ti vlastne ide, co potrebujes dosiahnut / vyriesit.


skoro si sa trafil, az na to ze nie dvaja providery Smile , v jednom bode potrebujem aby jedna siet isla cez jeden spoj a druha siet cez druhy spoj, za touto masinou je mikrotik (ktory markuje route, podla toho ktorym spojom ma ist prevadzka). bohuzial, kabel na vystupe mam len jeden a v pc nemam miesto pre dalsiu sietovku, aby boli na 2ox roznyx ifacox Sad

toto som poriesil snatom, ale dosledok je ze

vznika druhy problem v mikrotiku.
ether1 je vystup na prvy spoj
bridge : ether2,3
na ether3 je vystup na druhy spoj

vstup z toho pc je na porte 2

konfiguracia mikrotiku
bridge1 - ipcky 10.30.30.1/24, 10.40.40.1/24
ether1 - 10.50.50.1/24

ip firewall
mangle

chain - prerouting
src. address - 10.40.40.0/24
in. interface - bridge1
action - mark routing
new routing mark - xxx

toto nasledujuce praviddlo neviem donutit, aby z bridgu reagovalo na subnet, 10.40.40.0/24
NAT
chain - srcnat
src. address - 10.40.40.0/24
out interface - ether1
action - masquerade

ip route
gateway 10.30.30.1
gateway 10.50.50.1, routing mark xxx

pokial nedam ether3 do bridgu a zapnem maskaradu aj na druhu podsiet je to ok, avsak ked to xcem, aby transparentne islo cez bridge a druhe cez nat, nereaguje
 
 View user's profile Send private message Visit poster's website ICQ Number 
Reply with quote Back to top
pixall
Post subject: RE: routovanie  PostPosted: 21.02.2011 - 17:49 #88681
Majster


Joined: Okt 21, 2003
Posts: 4247

shock wrote: ›skoro si sa trafil, az na to ze nie dvaja providery Smile , v jednom bode potrebujem aby jedna siet isla cez jeden spoj a druha siet cez druhy spoj, za touto masinou je mikrotik (ktory markuje route, podla toho ktorym spojom ma ist prevadzka). bohuzial, kabel na vystupe mam len jeden a v pc nemam miesto pre dalsiu sietovku, aby boli na 2ox roznyx ifacox Sad


ked chces routovat jeden traffic jednou linkou a druhu trasu druhou, tak ti netreba NAT, iba jednoduche route x.x.x.x via y.y.y.y a route w.w.w.w via z.z.z.z. pripadne ak to ma byt symetricky tak na jednej strane bude treba tento routing na na druhej strane bude treba source routing (nie podla cielovej ale podla zdrojovej IPcky).

ked mas problem s tym ze dalsiu sietovku do stroja nevies dat, mas tiez moznost nahodit toto rozhranie ako 802.1q trunk, nahodit tam dve VLANy, a vybehnut s nimi do switcha ktory ich rozdeli na dva access porty. takto sa ti to v zariadeni bude javit ako dva samostatne rozhrania/sietovky (vlan10 a vlan20) a pritom to vylezie fyzicky jednou sietovkou otagovane prislusnym VLAN tagom, a nasledny switch to rozbije na dva samostatne porty. odporucal by som vidiet niektore z nasich routrov ktore maju takto niekolko stovak rozhrani (niekolko desiatok VLAN a k tomu niekolko sto pppoe rozhrani. router s jednou jedinou sietovkou nie je problem, ked podporuje VLANy tak jedna sietovka uplne staci.)

to NATkovanie ktore opisujes je take male sialenostvo, mozno to ma svoju skrytu logiku ktoru neviem takto narychlo pochopit, pravdu povediac stale nerozumiem o co sa basnik snazi. ak ide o smerovanie paketov teda routing, tak routing sa robi routovanim, nie NATovanim. bohuzial evidujem ze niektori provideri s 3000+ usermi stale poriadne neovladaju zaklady networkingu a myslia si ze verejnu IP posuniem cez siet k userovi cez 5 routrov piatimi natkami, dufam ze sa nesnazis o nieco podobne Wink
 
 View user's profile Send private message Visit poster's website  
Reply with quote Back to top
shock
Post subject: RE: routovanie  PostPosted: 24.02.2011 - 17:44 #88763
Basic


Joined: Apr 14, 2004
Posts: 92

ked chces routovat jeden traffic jednou linkou a druhu trasu druhou, tak ti netreba NAT, iba jednoduche route x.x.x.x via y.y.y.y a route w.w.w.w via z.z.z.z. pripadne ak to ma byt symetricky tak na jednej strane bude treba tento routing na na druhej strane bude treba source routing (nie podla cielovej ale podla zdrojovej IPcky).

ked mas problem s tym ze dalsiu sietovku do stroja nevies dat, mas tiez moznost nahodit toto rozhranie ako 802.1q trunk, nahodit tam dve VLANy, a vybehnut s nimi do switcha ktory ich rozdeli na dva access porty. takto sa ti to v zariadeni bude javit ako dva samostatne rozhrania/sietovky (vlan10 a vlan20) a pritom to vylezie fyzicky jednou sietovkou otagovane prislusnym VLAN tagom, a nasledny switch to rozbije na dva samostatne porty. odporucal by som vidiet niektore z nasich routrov ktore maju takto niekolko stovak rozhrani (niekolko desiatok VLAN a k tomu niekolko sto pppoe rozhrani. router s jednou jedinou sietovkou nie je problem, ked podporuje VLANy tak jedna sietovka uplne staci.)

to NATkovanie ktore opisujes je take male sialenostvo, mozno to ma svoju skrytu logiku ktoru neviem takto narychlo pochopit, pravdu povediac stale nerozumiem o co sa basnik snazi. ak ide o smerovanie paketov teda routing, tak routing sa robi routovanim, nie NATovanim. bohuzial evidujem ze niektori provideri s 3000+ usermi stale poriadne neovladaju zaklady networkingu a myslia si ze verejnu IP posuniem cez siet k userovi cez 5 routrov piatimi natkami, dufam ze sa nesnazis o nieco podobne Wink[/quote]

nesnazim sa Smile takze vlan nahodena jedna, dufam ze staci

situacia

pc: ma siete
10.30.30.2/24 VLAN1
10.40.40.3/24 bez VLAN
default gw 10.40.40.1

mikrotik
eth1 vystup1 nad nim je VLAN2 ma ist 10.50.50.0/24
eth2 vstup
eth3 je vystup2 ma ist 10.40.40.0/24

eth1 10.50.50.2/24
eth2, 3 su v bridge1 10.40.40.2/24
nad bridge1 je VLAN1 10.30.30.1/24

siet 10.40.40.0/24 ide ok

siet 10.30.30.0/24 potrebujem aby isla cez NAT na eth1

nedari sa mi to spojazdnit

ps: predtym som skusal
eth1, 2, 3 bridge1 10.40.40.2/24
nad bridge VLAN1 10.30.30.2/24
na eth1 bolo zapojene zariadenie s VLAN1 10.30.30.1
avsak k nemu som sa nedopingal

nejaky napad?
 
 View user's profile Send private message Visit poster's website ICQ Number 
Reply with quote Back to top
ewew
Post subject: RE: routovanie  PostPosted: 24.02.2011 - 22:19 #88768
Basic


Joined: Sep 02, 2009
Posts: 433

Mohol by si sem dať nejaký diagram ako to máš zapojené, obrázok by možno pomohol. Môžeš na to použiť program Network Notepad.
 
 View user's profile Send private message  
Reply with quote Back to top
Display posts from previous:     
All times are GMT
Post new topic Reply to topic
View previous topic Printable version Log in to check your private messages View next topic
 
Jump to:  

Powered by PNphpBB2 © 2003-2005 The PNphpBB Group
Credits

(C) SKFree 2002-2010: Powered by POSTNUKE. Môžete prebera? naše správy vo formáte XML(RSS)