URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 77284
[ Назад ]

Исходное сообщение
"Проблемы с маскарадингом"
Отправлено Сергей , 11-Ноя-07 00:33

Использую Suse 10.3
Включаю маскарадинг на ppp* подсеть и клиенты без проблем открывают сайты и т.д., вообщем нареканий нет.
Далее с внешнего интерфейса включаю маскарадинг на локальную сеть предприятия (eth1, клиенты прописывают шлюзом адрес eth1 и получается вот что:
сайты rbc.ru, e-port.ru, microsoft.ru перестают открываться. Имена резольвяться нормально, сайты типа mail.ru, openet.ru открываются без проблем. Параметры mtu eth1 - 1500.
В чем проблема?

Содержание

Проблемы с маскарадингом,Oyyo, 19:04 , 11-Ноя-07
- Проблемы с маскарадингом,Сергей, 19:39 , 11-Ноя-07
  - Проблемы с маскарадингом,Oyyo, 16:46 , 12-Ноя-07
    - Проблемы с маскарадингом,Сергей, 19:12 , 12-Ноя-07
      - Проблемы с маскарадингом,Oyyo, 20:11 , 12-Ноя-07

Сообщения в этом обсуждении

"Проблемы с маскарадингом"
Отправлено Oyyo , 11-Ноя-07 19:04

>Использую Suse 10.3
>Включаю маскарадинг на ppp* подсеть и клиенты без проблем открывают сайты и
>т.д., вообщем нареканий нет.
>Далее с внешнего интерфейса включаю маскарадинг на локальную сеть предприятия (eth1, клиенты
>прописывают шлюзом адрес eth1 и получается вот что:
>сайты rbc.ru, e-port.ru, microsoft.ru перестают открываться. Имена резольвяться нормально, сайты типа mail.ru,
>openet.ru открываются без проблем. Параметры mtu eth1 - 1500.
>В чем проблема?
для начала покажи правила, которыми делаешь маскарадинг

"Проблемы с маскарадингом"
Отправлено Сергей , 11-Ноя-07 19:39

>>Использую Suse 10.3
>>Включаю маскарадинг на ppp* подсеть и клиенты без проблем открывают сайты и
>>т.д., вообщем нареканий нет.
>>Далее с внешнего интерфейса включаю маскарадинг на локальную сеть предприятия (eth1, клиенты
>>прописывают шлюзом адрес eth1 и получается вот что:
>>сайты rbc.ru, e-port.ru, microsoft.ru перестают открываться. Имена резольвяться нормально, сайты типа mail.ru,
>>openet.ru открываются без проблем. Параметры mtu eth1 - 1500.
>>В чем проблема?
>
>для начала покажи правила, которыми делаешь маскарадинг
Поскольку разработчики Suse придумали файервол и не написали скриптов запуска, отстанова и сохраниения правил, то пришлось скрипт запуска и сохранения правил скоприровать из Мандривы.
Итак:
политика Filter по умолчанию Allow
правила составляю так:
dsl1 - интерфейс с реальным (а может быть и серым адресом взависимости от тарифа, результат все равно отрицательный) адресом
eth0 - 192.168.1.1/24 - карта локальной сети предпирятия
ppp* - 192.168.168.0/24 (адреса при ВПН соединении клиентов)
1. iptables -t nat -A POSTROUTING -o dsl1 -s 192.168.1.0/24 -j MASQUERADE - Избирательные ответы на запросы по порту 80
2. iptables -t nat -A POSTROUTING -o dsl1 -s 192.168.168.0/24 -j MASQUERADE - Все сайты
открываются без проблем
Что самое интересное, что с такой проблемой я столкнулся именно в Suse 10.3, не в Мандриве, не в платном SLES такой проблемы не возникало.

fs:~ # ifconfig
dsl0      Link encap:Point-to-Point Protocol
          inet addr:192.168.111.248  P-t-P:192.168.100.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1400  Metric:1
          RX packets:9 errors:0 dropped:0 overruns:0 frame:0
          TX packets:10 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:114 (114.0 b)  TX bytes:112 (112.0 b)
dsl1      Link encap:Point-to-Point Protocol
          inet addr:10.92.40.93  P-t-P:10.92.40.1  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1492  Metric:1
          RX packets:77809 errors:0 dropped:0 overruns:0 frame:0
          TX packets:133534 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:8386040 (7.9 Mb)  TX bytes:127808297 (121.8 Mb)
eth0      Link encap:Ethernet  HWaddr 00:19:D1:60:05:CD
          inet addr:192.168.1.1  Bcast:192.168.1.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2751405 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2150137 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:1314155630 (1253.2 Mb)  TX bytes:1807126135 (1723.4 Mb)
          Base address:0x30e0 Memory:50300000-50320000
eth1      Link encap:Ethernet  HWaddr 00:13:46:3B:99:A2
          inet addr:192.168.0.10  Bcast:192.168.0.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:2117411 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2639393 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:1811661838 (1727.7 Mb)  TX bytes:1308629990 (1248.0 Mb)
          Interrupt:18 Base address:0xe800
lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:14204 errors:0 dropped:0 overruns:0 frame:0
          TX packets:14204 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:975332 (952.4 Kb)  TX bytes:975332 (952.4 Kb)
fs:~ # iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  192.168.1.0/24       anywhere
MASQUERADE  all  --  192.168.168.0/24     anywhere
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

fs:~ # iptables -t mangle -L
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
fs:~ # iptables -t filter -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
fs:~ #

"Проблемы с маскарадингом"
Отправлено Oyyo , 12-Ноя-07 16:46

====================
>[оверквотинг удален]
>правила составляю так:
>dsl1 - интерфейс с реальным (а может быть и серым адресом взависимости
>от тарифа, результат все равно отрицательный) адресом
>eth0 - 192.168.1.1/24 - карта локальной сети предпирятия
>ppp* - 192.168.168.0/24 (адреса при ВПН соединении клиентов)
>1. iptables -t nat -A POSTROUTING -o dsl1 -s 192.168.1.0/24 -j MASQUERADE
>- Избирательные ответы на запросы по порту 80
>2. iptables -t nat -A POSTROUTING -o dsl1 -s 192.168.168.0/24 -j MASQUERADE
>- Все сайты
>открываются без проблем
не вижу ни какого криминала, должно работать нормально, я б написал правило чуть проще вместо твоих двух
iptables -t nat -A POSTROUTING -o dsl1 -j MASQUERADE
т.е. всё что уходит с этого интерфейса - маскарадить
>>>Далее с внешнего интерфейса включаю маскарадинг на локальную сеть предприятия (eth1, клиенты
каким образом?
>>>прописывают шлюзом адрес eth1 и получается вот что:
что за шлюз? зачем?

"Проблемы с маскарадингом"
Отправлено Сергей , 12-Ноя-07 19:12

>[оверквотинг удален]
>iptables -t nat -A POSTROUTING -o dsl1 -j MASQUERADE
>т.е. всё что уходит с этого интерфейса - маскарадить
>
>>>>Далее с внешнего интерфейса включаю маскарадинг на локальную сеть предприятия (eth1, клиенты
>
>каким образом?
>
>>>>прописывают шлюзом адрес eth1 и получается вот что:
>
>что за шлюз? зачем?
Если можно - Ваш ICQ, а то я что то парюсь...

"Проблемы с маскарадингом"
Отправлено Oyyo , 12-Ноя-07 20:11

271050202