alexander.astashov.vl Опубликовано 29 августа, 2016 Привет всем. Неделю бьюсь над проблемой, не могу добиться чтоб работало. Тонну примеров перепробовал, не осталось ссылок в гугле, которые не открывал. Помоги кто понимает в настройке wccp2 на cisco 7200 в связке со squid 3 на centos 6. Собственно конфиги: L2 метод 7200: ! ip wccp web-cache redirect-list wccp_redirection ! ! interface GigabitEthernet0/1 description Internet ip address 192.168.33.202 255.255.255.0 ip access-group 101 in media-type rj45 speed auto duplex auto negotiation auto ! interface GigabitEthernet0/2 ip address 192.168.88.89 255.255.255.252 ip wccp web-cache redirect in media-type rj45 speed auto duplex auto negotiation auto ! interface GigabitEthernet0/3 description Link to Cach ip address 192.168.88.1 255.255.255.252 media-type rj45 speed auto duplex auto negotiation auto ! ip classless ip route 0.0.0.0 0.0.0.0 192.168.33.91 ! ! ip access-list standard wccp_redirection deny 192.168.88.2 deny 192.168.88.89 permit 192.168.88.88 0.0.0.3 deny any ip access-list standard wccp_service permit 192.168.88.2 ! Router#sh ip wccp Global WCCP information: Router information: Router Identifier: 192.168.88.1 Protocol Version: 2.0 Service Identifier: web-cache Number of Service Group Clients: 0 Number of Service Group Routers: 0 Total Packets s/w Redirected: 0 Process: 0 CEF: 0 Redirect access-list: wccp_redirection Total Packets Denied Redirect: 0 Total Packets Unassigned: 0 Group access-list: -none- Total Messages Denied to Group: 0 Total Authentication failures: 0 Total Bypassed Packets Received: 0 Router#sh ip wccp web-cache det WCCP Client information: WCCP Client ID: 192.168.88.2 Protocol Version: 2.0 State: NOT Usable Redirection: L2 Packet Return: L2 Packets Redirected: 0 Connect Time: 00:00:28 Assignment: MASK squid: http_port 3128 transparent wccp2_router 192.168.88.89 wccp2_forwarding_method l2 wccp2_return_method l2 wccp2_assignment_method 1 wccp2_service standard 0 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sol Опубликовано 29 августа, 2016 https://www.opennet.ru/base/cisco/cisco_wccp_squid.txt.html Внимательно читаем п.4 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexander.astashov.vl Опубликовано 30 августа, 2016 https://www.opennet.ru/base/cisco/cisco_wccp_squid.txt.html Внимательно читаем п.4 Спасибо, это я читал, но там используется gre, а у меня l2. Попробовал один в один как в том примере, gre поднялся теперь все Usable, но все же что то не работает: Router#sh ip wccp web-cache detail WCCP Client information: WCCP Client ID: 192.168.88.2 Protocol Version: 2.0 State: Usable Redirection: GRE Packet Return: GRE Packets Redirected: 40 Connect Time: 00:01:34 Assignment: MASK Mask SrcAddr DstAddr SrcPort DstPort —— —---— —---— —---— —---— 0000: 0x00000000 0x00001741 0x0000 0x0000 Value SrcAddr DstAddr SrcPort DstPort CE-IP —--- —---— —---— —---— —---— —--- 0000: 0x00000000 0x00000000 0x0000 0x0000 0xC0A85802 (192.168.88.2) 0001: 0x00000000 0x00000001 0x0000 0x0000 0xC0A85802 (192.168.88.2) 0002: 0x00000000 0x00000040 0x0000 0x0000 0xC0A85802 (192.168.88.2) тут куча похожих строк..... 192.168.88.90 - клиент, 192.168.33.90 - тестовый web сервер. дамп на gre0: [root@localhost ~]# tcpdump -i gre0 -t tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on gre0, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes IP 192.168.88.90.39236 > 192.168.33.90.http: Flags [s], seq 355576667, win 29200, options [mss 1460,sackOK,TS val 1703523 ecr 0,nop,wscale 7], length 0 IP 192.168.88.90.39238 > 192.168.33.90.http: Flags [s], seq 773845444, win 29200, options [mss 1460,sackOK,TS val 1703586 ecr 0,nop,wscale 7], length 0 IP 192.168.88.90.39236 > 192.168.33.90.http: Flags [s], seq 355576667, win 29200, options [mss 1460,sackOK,TS val 1703773 ecr 0,nop,wscale 7], length 0 IP 192.168.88.90.39238 > 192.168.33.90.http: Flags [s], seq 773845444, win 29200, options [mss 1460,sackOK,TS val 1703836 ecr 0,nop,wscale 7], length 0 IP 192.168.88.90.39236 > 192.168.33.90.http: Flags [s], seq 355576667, win 29200, options [mss 1460,sackOK,TS val 1704274 ecr 0,nop,wscale 7], length 0 IP 192.168.88.90.39238 > 192.168.33.90.http: Flags [s], seq 773845444, win 29200, options [mss 1460,sackOK,TS val 1704337 ecr 0,nop,wscale 7], length 0 IP 192.168.88.90.39236 > 192.168.33.90.http: Flags [s], seq 355576667, win 29200, options [mss 1460,sackOK,TS val 1705276 ecr 0,nop,wscale 7], length 0 IP 192.168.88.90.39240 > 192.168.33.90.http: Flags [s], seq 768953985, win 29200, options [mss 1460,sackOK,TS val 1705285 ecr 0,nop,wscale 7], length 0 IP 192.168.88.90.39238 > 192.168.33.90.http: Flags [s], seq 773845444, win 29200, options [mss 1460,sackOK,TS val 1705340 ecr 0,nop,wscale 7], length 0 IP 192.168.88.90.39240 > 192.168.33.90.http: Flags [s], seq 768953985, win 29200, options [mss 1460,sackOK,TS val 1705535 ecr 0,nop,wscale 7], length 0 IP 192.168.88.90.39240 > 192.168.33.90.http: Flags [s], seq 768953985, win 29200, options [mss 1460,sackOK,TS val 1706036 ecr 0,nop,wscale 7], length 0 IP 192.168.88.90.39242 > 192.168.33.90.http: Flags [s], seq 3114308301, win 29200, options [mss 1460,sackOK,TS val 1706174 ecr 0,nop,wscale 7], length 0 IP 192.168.88.90.39242 > 192.168.33.90.http: Flags [s], seq 3114308301, win 29200, options [mss 1460,sackOK,TS val 1706424 ecr 0,nop,wscale 7], length 0 IP 192.168.88.90.39242 > 192.168.33.90.http: Flags [s], seq 3114308301, win 29200, options [mss 1460,sackOK,TS val 1706925 ecr 0,nop,wscale 7], length 0 IP 192.168.88.90.39240 > 192.168.33.90.http: Flags [s], seq 768953985, win 29200, options [mss 1460,sackOK,TS val 1707038 ecr 0,nop,wscale 7], length 0 То есть запрос вижу только в одну сторону. Может в iptables чтот не то, хотя один в один как в пимере прописывал Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 30 августа, 2016 Вы сайты РКН хотите фильтровать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexander.astashov.vl Опубликовано 30 августа, 2016 (изменено) Вы сайты РКН хотите фильтровать? Неа, мне нужно уменьшить растраты на интернет. На 7200 тестово завожу, чтоб разобраться как работает и буде ли вообще. Потом на cat 6500 буду поднимать. Говорят там с этим делом проще, но рисковать и сразу заводить на 6500, нельзя)) Изменено 30 августа, 2016 пользователем alexander.astashov.vl Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 30 августа, 2016 Я к тому, что путем BGP трафик не получится завернуть на squid? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sol Опубликовано 30 августа, 2016 Спасибо, это я читал, но там используется gre, а у меня l2 У вас может быть всё, что угодно. Но протокол WCCP использует инкапсуляцию GRE. Вне зависимости от вашего желания и вашей возможности это распаковать. То есть запрос вижу только в одну сторону. Может в iptables чтот не то, хотя один в один как в пимере прописывал Так и должно быть. Задача циски - "передать сессию" кешу. Далее работает только сам кеш. Проверяйте маршрутизацию. Сервер с squid должен иметь маршруты к клиентам, в мир (к тестовому серверу) и не выполнять проверку Reverse Path. Иными словами, sysctl net.ipv4.ip_forward = 1 sysctl net.ipv4.conf.all.rp_filter = 0 и sysctl -a | grep rp_filter везде должнем быть 0. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sol Опубликовано 30 августа, 2016 Автор прорезался в личке (3 сообщения в день), копирую сюда. Мало ли кому понадобится. Извините, я недавно создал аккаунт и пока не могу писать более 3-х сообщений в день на форуме, поэтому пишу в личку. Как вы и говорили, "и sysctl -a | grep rp_filter везде должнем быть 0." - не везде были нули. Не удобно вас просить помочь, но не могли бы подсказать что нужно сделать с роутами, а то голова пухнет и нужно закончить завтра вечером? У меня 1 физический интерфейс на сквиде который имеет доступ в локальную сеть и в интернет. С него пинги проходят до всех хостов (web-server, cisco router, local client). В браузе пользователя выдает "Не удается получить доступ к сайту ерор адрес анричбл", в дампе на интерфейсе сквида временам пролетают запросы что то вроде:IP 192.168.33.90 > 192.168.88.90: ICMP net 192.168.33.90 UNREACHABLE, lenght 60 88.2 - сквид сервер 88.90 - клиент 33.90 - веб сервер в студию: route -n ip rule ifconfig ip addr ip route [root@localhost ~]# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 10.7.7.4 0.0.0.0 255.255.255.252 U 0 0 0 gre0 192.168.88.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 169.254.0.0 0.0.0.0 255.255.0.0 U 1003 0 0 eth1 169.254.0.0 0.0.0.0 255.255.0.0 U 1004 0 0 gre0 [root@localhost ~]# ip rule 0: from all lookup local 1000: from 192.168.88.2 lookup service 32766: from all lookup main 32767: from all lookup default [root@localhost ~]# ifconfig eth1 Link encap:Ethernet HWaddr 08:00:27:86:7B:B4 inet addr:192.168.88.2 Bcast:192.168.88.255 Mask:255.255.255.0 inet6 addr: fe80::a00:27ff:fe86:7bb4/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:288 errors:0 dropped:0 overruns:0 frame:0 TX packets:255 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:73411 (71.6 KiB) TX bytes:33527 (32.7 KiB) gre0 Link encap:UNSPEC HWaddr 00-00-00-00-FF-FF-80-2D-00-00-00-00-00-00-00-00 inet addr:10.7.7.5 Mask:255.255.255.252 UP RUNNING NOARP MTU:1476 Metric:1 RX packets:51 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:3060 (2.9 KiB) TX bytes:0 (0.0 b) lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:65536 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b) [root@localhost ~]# ip addr 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: eth0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000 link/ether 08:00:27:64:62:38 brd ff:ff:ff:ff:ff:ff 3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether 08:00:27:86:7b:b4 brd ff:ff:ff:ff:ff:ff inet 192.168.88.2/24 brd 192.168.88.255 scope global eth1 inet6 fe80::a00:27ff:fe86:7bb4/64 scope link valid_lft forever preferred_lft forever 4: gre0: <NOARP,UP,LOWER_UP> mtu 1476 qdisc noqueue state UNKNOWN link/gre 0.0.0.0 brd 0.0.0.0 inet 10.7.7.5/30 brd 10.7.7.7 scope global gre0 5: gretap0: <BROADCAST,MULTICAST> mtu 1476 qdisc noop state DOWN qlen 1000 link/ether 00:00:00:00:00:00 brd ff:ff:ff:ff:ff:ff [root@localhost ~]# ip route 10.7.7.4/30 dev gre0 proto kernel scope link src 10.7.7.5 192.168.88.0/24 dev eth1 proto kernel scope link src 192.168.88.2 169.254.0.0/16 dev eth1 scope link metric 1003 169.254.0.0/16 dev gre0 scope link metric 1004 1. echo NOZEROCONF=yes >> /etc/sysconfig/network и потом ребутнуться. Это задушит link local адреса вида 169.254.0.0 2. Пакеты от 192.168.88.2 попадают в таблицу service а. Зачем? б. ip route list table service 3. Предлагаю избавится от этой доп. таблицы и всё сделать в глобальной маршрутизации, не трогая PBR. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexander.astashov.vl Опубликовано 31 августа, 2016 3. Предлагаю избавится от этой доп. таблицы и всё сделать в глобальной маршрутизации, не трогая PBR [root@localhost ~]# ip route list table service default via 192.168.88.1 dev eth1 proto static Убрал все: [root@localhost ~]# ip rule 0: from all lookup local 32766: from all lookup main 32767: from all lookup default [root@localhost ~]# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 10.7.7.4 0.0.0.0 255.255.255.252 U 0 0 0 gre0 192.168.88.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 Ссылка на скрин: https://drive.google.com/file/d/0B5Gxib2YKv4xREV2Q3A1R29PVHc/view?usp=sharing Если прописывать маршрут по умолчанию: [root@localhost ~]# ip route add default via 192.168.88.1 [root@localhost ~]# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 10.7.7.4 0.0.0.0 255.255.255.252 U 0 0 0 gre0 192.168.88.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 0.0.0.0 192.168.88.1 0.0.0.0 UG 0 0 0 eth1 Ссылка на крин: https://drive.google.com/file/d/0B5Gxib2YKv4xd2I3T01oNTljVlk/view?usp=sharing Еще пробовал вот так: [root@localhost ~]# ip route add 192.168.88.2 via 192.168.88.1 dev eth1 [root@localhost ~]# ip route 192.168.88.2 via 192.168.88.1 dev eth1 10.7.7.4/30 dev gre0 proto kernel scope link src 10.7.7.5 192.168.88.0/24 dev eth1 proto kernel scope link src 192.168.88.2 [root@localhost ~]# [root@localhost ~]# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.88.2 192.168.88.1 255.255.255.255 UGH 0 0 0 eth1 10.7.7.4 0.0.0.0 255.255.255.252 U 0 0 0 gre0 192.168.88.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 Ссылка на скрин: https://drive.google.com/file/d/0B5Gxib2YKv4xN0lDNnVXN0xGNTg/view?usp=sharing Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sol Опубликовано 31 августа, 2016 В первом случае клиент шлёт syn вебсерверу. Сервер отвечает, что сеть недостижима. СЕРВЕР отвечает. route -n с вебсервера в студию. По второму случаю не ясно, где снят дамп. По третьему не понятно, кто такой 149.154.167.51 Вообще, рисуйте топологию. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexander.astashov.vl Опубликовано 1 сентября, 2016 (изменено) Решил поменять кое что и заново скидываю все настройки. Мне кажется что решение тривиальное, но я уже начал "в шары долбиться". Спасибо что помогаете))): Топология: Конфиги 7200: ip wccp web-cache redirect-list wccp_redirection ! ! interface GigabitEthernet0/1 description Internet ip address 192.168.33.202 255.255.255.0 ip access-group 101 in media-type rj45 speed auto duplex auto negotiation auto ! interface GigabitEthernet0/2 description User ip address 192.168.88.1 255.255.255.0 ip access-group 10 in ip wccp web-cache redirect in media-type rj45 speed auto duplex auto negotiation auto ! interface GigabitEthernet0/3 description Link to Cach no ip address media-type rj45 speed auto duplex auto negotiation auto ! interface GigabitEthernet0/3.3 encapsulation dot1Q 3 native ip address 192.168.55.1 255.255.255.0 no ip redirects no ip unreachables no ip mroute-cache no cdp enable ! ip classless ip route 0.0.0.0 0.0.0.0 192.168.33.90 ! ! no ip http server no ip http secure-server ! ip access-list standard wccp_redirection permit any permit 192.168.88.0 0.0.0.255 ! access-list 10 permit any access-list 10 permit 192.168.88.0 0.0.0.255 Конфиги Squid: [root@localhost ~]# cat /etc/squid/squid.conf acl manager proto cache_object acl localhost src 127.0.0.1/32 ::1 acl localnet src 192.168.88.0/24 acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1 acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localnet http_access allow localhost http_access deny all http_port 3128 coredump_dir /var/spool/squid refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern . 0 20% 4320 visible_hostname squid.mx.kg wccp2_router 192.168.55.1 wccp2_forwarding_method gre wccp2_return_method gre wccp2_service standard 0 http_port 3128 transparent hierarchy_stoplist cgi-bin ? Squid сервер: Сейчас удалил роуты, чтобы не мешались [root@localhost ~]# ip route 10.7.7.4/30 dev gre0 proto kernel scope link src 10.7.7.5 192.168.55.0/24 dev eth1 proto kernel scope link src 192.168.55.2 default via 192.168.55.1 dev eth1 [root@localhost ~]# route -n Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 10.7.7.4 0.0.0.0 255.255.255.252 U 0 0 0 gre0 192.168.55.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 0.0.0.0 192.168.55.1 0.0.0.0 UG 0 0 0 eth1 [root@localhost ~]# ip route 10.7.7.4/30 dev gre0 proto kernel scope link src 10.7.7.5 192.168.55.0/24 dev eth1 proto kernel scope link src 192.168.55.2 default via 192.168.55.1 dev eth1 [root@localhost ~]# ifconfig eth1 Link encap:Ethernet HWaddr 08:00:27:86:7B:B4 inet addr:192.168.55.2 Bcast:192.168.55.255 Mask:255.255.255.0 inet6 addr: fe80::a00:27ff:fe86:7bb4/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:297 errors:0 dropped:0 overruns:0 frame:0 TX packets:402 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:33889 (33.0 KiB) TX bytes:44277 (43.2 KiB) gre0 Link encap:UNSPEC HWaddr 00-00-00-00-FF-FF-80-ED-00-00-00-00-00-00-00-00 inet addr:10.7.7.5 Mask:255.255.255.252 UP RUNNING NOARP MTU:1476 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b) lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:65536 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:0 (0.0 b) TX bytes:0 (0.0 b) [root@localhost ~]# ip addr 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: eth0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000 link/ether 08:00:27:64:62:38 brd ff:ff:ff:ff:ff:ff 3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether 08:00:27:86:7b:b4 brd ff:ff:ff:ff:ff:ff inet 192.168.55.2/24 brd 192.168.55.255 scope global eth1 inet6 fe80::a00:27ff:fe86:7bb4/64 scope link valid_lft forever preferred_lft forever 4: gre0: <NOARP,UP,LOWER_UP> mtu 1476 qdisc noqueue state UNKNOWN link/gre 0.0.0.0 brd 0.0.0.0 inet 10.7.7.5/30 brd 10.7.7.7 scope global gre0 5: gretap0: <BROADCAST,MULTICAST> mtu 1476 qdisc noop state DOWN qlen 1000 link/ether 00:00:00:00:00:00 brd ff:ff:ff:ff:ff:ff [root@localhost ~]# ip rule 0: from all lookup local 32766: from all lookup main 32767: from all lookup default [root@localhost ~]# cat /etc/sysconfig/iptables # Generated by iptables-save v1.4.7 on Tue Aug 30 08:08:37 2016 *mangle :PREROUTING ACCEPT [1558:151364] :INPUT ACCEPT [1458:145364] :FORWARD ACCEPT [54:3240] :OUTPUT ACCEPT [590:90944] :POSTROUTING ACCEPT [644:94184] COMMIT # Completed on Tue Aug 30 08:08:37 2016 # Generated by iptables-save v1.4.7 on Tue Aug 30 08:08:37 2016 *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state —state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i eth1 -j ACCEPT -A INPUT -p tcp -m state —state NEW -m tcp —dport 22 -j ACCEPT -A INPUT -j REJECT —reject-with icmp-host-prohibited -A INPUT -i lo -j ACCEPT -A INPUT -i gre0 -j ACCEPT -A INPUT -s 192.168.55.1 -i eth1 -p gre -j ACCEPT -A INPUT -s 192.168.55.1 -i eth1 -p udp -m udp —dport 2048 -j ACCEPT -A FORWARD -m state —state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -p icmp -j ACCEPT -A FORWARD -i lo -j ACCEPT -A FORWARD -i eth1 -j ACCEPT -A FORWARD -o eth1 -j ACCEPT -A FORWARD -j REJECT —reject-with icmp-host-prohibited -A OUTPUT -j ACCEPT -A OUTPUT -j ACCEPT COMMIT # Completed on Tue Aug 30 08:08:37 2016 # Generated by iptables-save v1.4.7 on Tue Aug 30 08:08:37 2016 *nat :PREROUTING ACCEPT [577:62530] :POSTROUTING ACCEPT [12:744] :OUTPUT ACCEPT [3:316] -A PREROUTING -i gre0 -p tcp -m tcp —dport 80 -j DNAT —to-destination 192.168.55.2:3128 -A POSTROUTING -o eth1 -j MASQUERADE COMMIT # Completed on Tue Aug 30 08:08:37 2016 Web server: aastashov@TO-aastashov:~$route -n Таблица маршутизации ядра протокола IP Destination Gateway Genmask Flags Metric Ref Use Iface 0.0.0.0 192.168.33.202 0.0.0.0 UG 0 0 0 eth0 192.168.33.0 0.0.0.0 255.255.255.0 U 1 0 0 eth0 aastashov@TO-aastashov:~$ ip route default via 192.168.33.202 dev eth0 proto static 192.168.33.0/24 dev eth0 proto kernel scope link src 192.168.33.90 metric 1 aastashov@TO-aastashov:~$ ifconfig eth0 Link encap:Ethernet HWaddr 74:ea:3a:81:67:c7 inet addr:192.168.33.90 Bcast:192.168.33.255 Mask:255.255.255.0 inet6 addr: fe80::76ea:3aff:fe81:67c7/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:1751 errors:0 dropped:60 overruns:0 frame:0 TX packets:338 errors:1 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:146472 (146.4 KB) TX bytes:46082 (46.0 KB) lo Link encap:Локальная петля (Loopback) inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:65536 Metric:1 RX packets:1835 errors:0 dropped:0 overruns:0 frame:0 TX packets:1835 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1 RX bytes:248800 (248.8 KB) TX bytes:248800 (248.8 KB) aastashov@TO-aastashov:~$ ip addr 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000 link/ether 74:ea:3a:81:67:c7 brd ff:ff:ff:ff:ff:ff inet 192.168.33.90/24 brd 192.168.33.255 scope global eth0 valid_lft forever preferred_lft forever inet6 fe80::76ea:3aff:fe81:67c7/64 scope link valid_lft forever preferred_lft forever aastashov@TO-aastashov:~$ ip rule 0: from all lookup local 32766: from all lookup main 32767: from all lookup default Изменено 1 сентября, 2016 пользователем alexander.astashov.vl Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...