Роутинг в сети

Linux, безопасность, сети и все что с этим связано
Asthma
Заглянувший
Сообщения: 4
Зарегистрирован: 23 июл 2009, 11:14
Откуда: Minsk

Роутинг в сети

Сообщение Asthma »

Что имеется:
Комп с 3мя интерфейсами и установленной Debian 5.
Интерфейсы:
10.16.252.0/24 - eth0 - 10.16.252.9-ип роутера в данной подсети
10.16.253.0/24 - eth1 - 10.16.253.9-ип роутера в данной подсети
10.16.255.0/24 - eth2 - 10.16.255.9-ип роутера в данной подсети

Задача:
Обеспечить роутинг между сетями с возможностью блокировать доступ к некоторым узлам.

Вот мой конфиг iptables:

Код: Выделить всё

#!/bin/bash
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -m state --state NEW -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT
iptables -A INPUT -p tcp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p udp -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT


iptables -A FORWARD -s 10.16.252.0/24 -d 10.16.253.0/24 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 10.16.252.0/24 -d 10.16.255.0/24 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

iptables -A FORWARD -s 10.16.253.0/24 -d 10.16.252.0/24 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 10.16.253.0/24 -d 10.16.255.0/24 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

iptables -A FORWARD -s 10.16.255.0/24 -d 10.16.252.0/24 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 10.16.255.0/24 -d 10.16.253.0/24 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT

В итоге между подсетями почти всё работает.
Но никак не получается две вещи:

1) В подсети 10.16.253.0/24, на сервере 10.16.253.1 поднят nat раздающий интернет. В своей подсети всё нормально, через роутер не работает. DNS сервер доступен из других подсетей.

2) В подсети 10.16.252.0/24 есть модем "соло" (10.16.252.1) (через него pptp к серверу провайдера),требуется сделать его доступным для подключения из всех подсетей через данный роутер. На самом модеме прописан роут: к 10.16.253.0/24 и 10.16.255.0/24 ходить через 10.16.252.9(ип роутера)


Помогите пожалуйста решить данные проблеммы. Ничего толкового нагуглить не смог...

Hermit
Неотъемлемая часть форума
Сообщения: 354
Зарегистрирован: 22 сен 2004, 13:47
Откуда: Minsk
Контактная информация:

Re: Роутинг в сети

Сообщение Hermit »

Asthma, конфиг iptables ацкий, - рекомендую покурить iptables tutorial. Зачем использовать вместе --state NEW,RELATED,ESTABLISHED ?

что касается описанных проблем - нужно уточнить что в таблице маршрутизации. ip ro l либо route print.
Мое предположение - нужно добавить default route через 10.16.253.1 и роуты на русурсы соло через 10.16.252.1.

Asthma
Заглянувший
Сообщения: 4
Зарегистрирован: 23 июл 2009, 11:14
Откуда: Minsk

Re: Роутинг в сети

Сообщение Asthma »

route print на win машине в подсети 10.16.255.0/24 (10.16.255.30)

Код: Выделить всё

Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      10.16.253.1    10.16.255.30       20
      10.16.252.0    255.255.255.0      10.16.255.9    10.16.255.30       1
      10.16.253.0    255.255.255.0      10.16.255.9    10.16.255.30       1
      10.16.254.0    255.255.255.0      10.16.255.9    10.16.255.30       1
      10.16.255.0    255.255.255.0     10.16.255.30    10.16.255.30       20
     10.16.255.30  255.255.255.255        127.0.0.1       127.0.0.1       20
   10.255.255.255  255.255.255.255     10.16.255.30    10.16.255.30       20
        127.0.0.0        255.0.0.0        127.0.0.1       127.0.0.1       1
      169.254.0.0      255.255.0.0    192.168.135.1   192.168.135.1       20
    192.168.135.0    255.255.255.0    192.168.135.1   192.168.135.1       20
    192.168.135.1  255.255.255.255        127.0.0.1       127.0.0.1       20
  192.168.135.255  255.255.255.255    192.168.135.1   192.168.135.1       20
    192.168.137.0    255.255.255.0    192.168.137.1   192.168.137.1       20
    192.168.137.1  255.255.255.255        127.0.0.1       127.0.0.1       20
  192.168.137.255  255.255.255.255    192.168.137.1   192.168.137.1       20
    195.222.64.67  255.255.255.255      10.16.252.1    10.16.255.30       1
    195.222.70.10  255.255.255.255      10.16.252.1    10.16.255.30       1
    195.222.70.29  255.255.255.255      10.16.252.1    10.16.255.30       1
    195.222.70.30  255.255.255.255      10.16.252.1    10.16.255.30       1
    195.222.70.31  255.255.255.255      10.16.252.1    10.16.255.30       1
    195.222.70.32  255.255.255.255      10.16.252.1    10.16.255.30       1
   195.222.70.166  255.255.255.255      10.16.252.1    10.16.255.30       1
   195.222.70.170  255.255.255.255      10.16.252.1    10.16.255.30       1
   195.222.70.174  255.255.255.255      10.16.252.1    10.16.255.30       1
   195.222.70.190  255.255.255.255      10.16.252.1    10.16.255.30       1
   195.222.70.198  255.255.255.255      10.16.252.1    10.16.255.30       1
   195.222.70.202  255.255.255.255      10.16.252.1    10.16.255.30       1
   195.222.70.210  255.255.255.255      10.16.252.1    10.16.255.30       1
   195.222.70.214  255.255.255.255      10.16.252.1    10.16.255.30       1
   195.222.70.222  255.255.255.255      10.16.252.1    10.16.255.30       1
   195.222.70.230  255.255.255.255      10.16.252.1    10.16.255.30       1
   195.222.70.238  255.255.255.255      10.16.252.1    10.16.255.30       1
   195.222.70.242  255.255.255.255      10.16.252.1    10.16.255.30       1
   195.222.70.246  255.255.255.255      10.16.252.1    10.16.255.30       1
   195.222.71.201  255.255.255.255      10.16.252.1    10.16.255.30       1
    195.222.90.10  255.255.255.255      10.16.252.1    10.16.255.30       1
   195.222.90.193  255.255.255.255      10.16.252.1    10.16.255.30       1
        224.0.0.0        240.0.0.0     10.16.255.30    10.16.255.30       20
        224.0.0.0        240.0.0.0    192.168.135.1   192.168.135.1       20
        224.0.0.0        240.0.0.0    192.168.137.1   192.168.137.1       20
  255.255.255.255  255.255.255.255     10.16.255.30    10.16.255.30       1
  255.255.255.255  255.255.255.255    192.168.135.1   192.168.135.1       1
  255.255.255.255  255.255.255.255    192.168.135.1               5       1
  255.255.255.255  255.255.255.255    192.168.137.1   192.168.137.1       1
Основной шлюз:         10.16.253.1
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
      10.16.252.0    255.255.255.0      10.16.255.9       1
      10.16.253.0    255.255.255.0      10.16.255.9       1
      10.16.254.0    255.255.255.0      10.16.255.9       1



195.222.71.201 - впн сервер соло, всё остальное 195.222.x.x различные бесплатные ресурсы	  




_________________________________________________________________________________
ip ro на debian-роутере

Код: Выделить всё

10.16.255.0/24 dev eth1  proto kernel  scope link  src 10.16.255.9
10.16.253.0/24 dev eth0  proto kernel  scope link  src 10.16.253.9
10.16.252.0/24 dev eth2  proto kernel  scope link  src 10.16.252.9
default via 10.16.253.1 dev eth0


________________________________________
ip ro на серевере раздающем инет по nat (10.16.253.1)

Код: Выделить всё

x.x.x.x via 10.16.0.1 dev eth0
10.16.0.0/24 dev eth0  proto kernel  scope link  src 10.16.0.2
10.16.255.0/24 via 10.16.253.9 dev eth1
10.7.0.0/24 dev tap0  proto kernel  scope link  src 10.7.0.2
10.16.253.0/24 dev eth1  proto kernel  scope link  src 10.16.253.1
default via 10.7.0.1 dev tap0

Где x.x.x.x - сервер с котрого приходит инет через openvpn сеть 10.7.0.0/24, которая в свою очередь постороенна на физической сети 10.16.0.0/24


сейчас пробую только для подсети 10.16.255.0/24, из-за этого пока нету роута к 10.16.252.0/24

_______________________________________________________________
на модеме соло в подсети 10.16.252.0/24 прописан роуты

Код: Выделить всё

10.16.253.0/24 via 10.16.252.9
10.16.255.0/24 via 10.16.252.9 


клиенты из разных подсетей прописавшие у себя роуты видят друг-друга
только вот эти две проблеммы описанные в первом посте никак не знаю как решить
Пожалуйста подскажите что делать...

Hermit
Неотъемлемая часть форума
Сообщения: 354
Зарегистрирован: 22 сен 2004, 13:47
Откуда: Minsk
Контактная информация:

Re: Роутинг в сети

Сообщение Hermit »

по первой проблеме - думаю, в качестве default gateway компов сети 10.15.255.0/24 должен быть указан 10.16.255.9 (вместо 10.16.253.1). В целом, рекомендую на всех компах всех трех сетей сделать линукс коробку основным шлюзом. После этого можно будет управлять трафиком в одной точке.

Для решения второй проблемы нужно добавить на линукс сервере маршруты на соло через модем соло. После этого компы из других подсетей смогут получать доступ к соловским сетям.

Asthma
Заглянувший
Сообщения: 4
Зарегистрирован: 23 июл 2009, 11:14
Откуда: Minsk

Re: Роутинг в сети

Сообщение Asthma »

По первой проблемме - спасибо, так и хотел сделать
Hermit писал(а): Для решения второй проблемы нужно добавить на линукс сервере маршруты на соло через модем соло. После этого компы из других подсетей смогут получать доступ к соловским сетям.
А можно немного поподробнее где должны быть прописанны маршруты ?


1) На самом модеме
2) На линукс-серевере(роутере)
3) У клиентов на Win машинах с других подсетей
На всём этом ?

Причём, если pptp сервер соло 195.222.71.201, то

1) На самом модеме(модем находится в подсети 10.16.252.0/24 и имеет ип 10.16.252.1) должно быть прописанно: 10.16.255.0/24 через 10.16.252.9(ип роутера со стороны подсети 10.16.252.0/24) и соотвественно для других подсетей
2) На роутере: 195.222.71.201 через 10.16.252.1
3) У клиента из подсети 10.16.255.0/24: 195.222.71.201 через 10.16.255.9(ип роутера со стороны подсети 10.16.255.0/24)

Так в теории ? или я где-то ощибся ? Спасибо за ваши ответы

Hermit
Неотъемлемая часть форума
Сообщения: 354
Зарегистрирован: 22 сен 2004, 13:47
Откуда: Minsk
Контактная информация:

Re: Роутинг в сети

Сообщение Hermit »

Asthma, маршруты нужно прописать на сервере

п1 - верно
п2 - верно
п3 - клиентам из всех сетей стоит назначить ip линукс сервера (роутера) в качестве шлюза по умолчанию. После этого практически при любых изменениях маршрутизации (н-р еще один модем другого провайдера) не нужно будет трогать компы пользователей.

Asthma
Заглянувший
Сообщения: 4
Зарегистрирован: 23 июл 2009, 11:14
Откуда: Minsk

Re: Роутинг в сети

Сообщение Asthma »

Hermit, Спасибо, вечером протестирую)

Ответить