nvm404 Napisano Kwiecień 15, 2011 Zgłoszenie Share Napisano Kwiecień 15, 2011 Witam, z reguły nie udzielam się na forach, ale kiedyś trzeba się zmienić, a nie tylko "sępić" na napisanych już postach. Do rzeczy, mam fedorę 14 32-bitową i chciałbym na niej zrobić bramkę. Mam modem 3g(łącze się za pomocą wvdiala) oraz LAN po ethernecie i chce "udostępniać" te połączenie wvdial-a w tej sieci lok. Dane są takie: Static IPs sieć : 192.168.1.0/24 bramka(fedora): 192.168.1.15 - eth0, 10.64.64.64 - ppp0 pozostałe hosty - 192.168.1.254 i mniej. I teraz pytanie jak to "udostępnić" a bardziej przekierować. Próbowałem iptables coś w stylu -A FORWARD -s 192.168.1.254/24 -i eth0 -o ppp0 -j ACCEPT czy też zmieniać default gw w tablicy routingu coś jak: route add default gw 10.64.64.64 netmask 255.255.255.0 dev ppp0 też nie pomogło. oczywiście net.ipv4.forwarding=1. Ma ktoś jakiś pomysł jak przekierować cały ruch z eth0 na ppp0? I czy na pewno taka operacja rozwiąże mój problem? PS. Na pewno można to zrobić - wstyd mówić ale na XPku czy 7-emce działa aż huczy... Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
WaldoWaldow Napisano Kwiecień 16, 2011 Zgłoszenie Share Napisano Kwiecień 16, 2011 (edytowane) Można to wyklikać w system-config-firewall zaznaczasz: Zaufane interfejsy ppp+ Maskarada ppp+ w nm-connection-editor eth0 w Fedorze: Adres 192.168.1.15 maska sieci 255.255.255.0 Brama 0.0.0.0 eth0 na klientach: Adres 192.168.1.XXX maska sieci 255.255.255.0 Brama 192.168.1.15 ------------------- PS błędnie "forwardujesz" eth0 zamiast ppp+ -A INPUT -i ppp+ -j ACCEPT -A FORWARD -i ppp+ -j ACCEPT domyślnej bramy dla eth0 na komputerze z Fedorą, udostępniającym neta z ppp+ nie ustawiasz Edytowane Kwiecień 16, 2011 przez WaldoWaldow Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
nvm404 Napisano Kwiecień 16, 2011 Autor Zgłoszenie Share Napisano Kwiecień 16, 2011 proszę... nie każ mi instalować X-ów =D, czyli założenie jest takie by działało to tekstowym. wiem że nie za dobrym motywem może być dzielenie modemu 3g ze względu na przepustowość ale mam pewną tezę. Chcę dzielić ten połączenie, odpalić deamona cacti i sprawdzić co stanowi limit w modemach 3G - oprogramowanie czy hardware :? Więc nadal czekam na propozycje. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
thof Napisano Kwiecień 16, 2011 Zgłoszenie Share Napisano Kwiecień 16, 2011 Jeszcze jest (był) tekstowy system-config-firewall-tui. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Gość Napisano Kwiecień 16, 2011 Zgłoszenie Share Napisano Kwiecień 16, 2011 Mysle, ze podstawowym problemem jest bledne zalozenie. Siec do której chcesz 'wyslac' twoje komputery ma inna adresacje (i to nie jest problem), ale problemem jest to, ze twoja siec ma tzw nieroutowalne adresy (adresacja zarezerwowana dla sieci prywatnych), w zwiazku z tym, urzadzenie za twoim modemem nie ma bladego pojecia jak ma wyslac powrotny pakiet do ciebie (wlasciwie twoich komputerów). Dlatego rozwiazaniem tutaj jest zwykla maskarada: iptables -t nat -I POSTROUTING -s 192.168.1.0/24 -j MASQUERADE Oczywiscie ip_forward=1. Pozdrawiam Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
nvm404 Napisano Kwiecień 18, 2011 Autor Zgłoszenie Share Napisano Kwiecień 18, 2011 dzięki za pomoc ale... nadal nie działa. W iptraf-ie żaden pakiet nie wychodzi na ppp gdy próbuje np. spingować 8.8.8.8 ze stacji roboczej używając jako bramy fedory. Zwrotka jest w postaci: ... Odpowiedź z 192.168.1.254: Host docelowy jest nieosiągalny. ... myślę jednak że sęk jest gdzieś w tych iptables. To dobre ale Artura S. rozwiązanie zrobiło to samo co wcześniejsze zalecenie WaldoWaldow-a xD. Zamieszczam config iptables z pliku: *nat :PREROUTING ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] -A POSTROUTING -o ippp+ -j MASQUERADE COMMIT *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -i ippp+ -j ACCEPT -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT -A FORWARD -p icmp -j ACCEPT -A FORWARD -i lo -j ACCEPT -A FORWARD -i ippp+ -j ACCEPT -A FORWARD -o ippp+ -j ACCEPT -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -j REJECT --reject-with icmp-host-prohibited COMMIT iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT icmp -- anywhere anywhere ACCEPT all -- anywhere anywhere ACCEPT all -- anywhere anywhere ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh Chain FORWARD (policy ACCEPT) target prot opt source destination ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED ACCEPT icmp -- anywhere anywhere ACCEPT all -- anywhere anywhere ACCEPT all -- anywhere anywhere ACCEPT all -- anywhere anywhere Chain OUTPUT (policy ACCEPT) target prot opt source destination no i sysctl -p net.ipv4.ip_forward = 1 net.ipv4.conf.default.rp_filter = 1 net.ipv4.conf.default.accept_source_route = 1 kernel.sysrq = 0 kernel.core_uses_pid = 1 Jakieś pomysły...? A na marginesie Arturze S. nie prowadzisz czasami szkoleń Red Hat-owych w stolicy? Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
WaldoWaldow Napisano Kwiecień 19, 2011 Zgłoszenie Share Napisano Kwiecień 19, 2011 Zamień ippp+ na ppp+ i powinno zadziałać. Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Gość Napisano Kwiecień 19, 2011 Zgłoszenie Share Napisano Kwiecień 19, 2011 A na marginesie Arturze S. nie prowadzisz czasami szkolen Red Hat-owych w stolicy? Zdarza mi sie A co? Masz jakies dobre wspomnienia? Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
nvm404 Napisano Kwiecień 19, 2011 Autor Zgłoszenie Share Napisano Kwiecień 19, 2011 usunięcie nieszczęsnego i z ippp w iptables pomogło - działa aż "huczy"! xD Przynajmniej z jednym się nie myliłem - można było to zrobić poprzez iptables! Teraz zaczynam swój misterny eksperyment. Co do wspomnień to muszę powiedzieć, że z kilku szkoleń w których brałem udział Twoje było najlepsze =)! Fakt, że nadal nie zrobiłem choćby RHCT - wydanie RHEL-a 6 pokrzyżowało mi plany - jakoś lękam się tego RHCSA. Nie ważne, serdecznie pozdrawiam i bardzo dziękuje Wam za pomoc! Odnośnik do komentarza Udostępnij na innych stronach More sharing options...
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się