Jump to content
Калькуляторы

cisco 7200 wccp2 + squid3 centos6

Reply to this topic

alexander.astashov.vl   

alexander.astashov.vl
Posted

Привет всем. Неделю бьюсь над проблемой, не могу добиться чтоб работало. Тонну примеров перепробовал, не осталось ссылок в гугле, которые не открывал. Помоги кто понимает в настройке wccp2 на cisco 7200 в связке со squid 3 на centos 6. Собственно конфиги:

 

L2 метод

 

7200:

!
ip wccp web-cache redirect-list wccp_redirection
!
!
interface GigabitEthernet0/1
description Internet
ip address 192.168.33.202 255.255.255.0
ip access-group 101 in
media-type rj45
speed auto
duplex auto
negotiation auto
!
interface GigabitEthernet0/2
ip address 192.168.88.89 255.255.255.252
ip wccp web-cache redirect in
media-type rj45
speed auto
duplex auto
negotiation auto
!
interface GigabitEthernet0/3
description Link to Cach
ip address 192.168.88.1 255.255.255.252
media-type rj45
speed auto
duplex auto
negotiation auto
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.33.91
!
!
ip access-list standard wccp_redirection
deny   192.168.88.2
deny   192.168.88.89
permit 192.168.88.88 0.0.0.3
deny   any
ip access-list standard wccp_service
permit 192.168.88.2
!

 

Router#sh ip wccp
Global WCCP information:
   Router information:
       Router Identifier:                   192.168.88.1
       Protocol Version:                    2.0

   Service Identifier: web-cache
       Number of Service Group Clients:     0
       Number of Service Group Routers:     0
       Total Packets s/w Redirected:        0
         Process:                           0
         CEF:                               0
       Redirect access-list:                wccp_redirection
       Total Packets Denied Redirect:       0
       Total Packets Unassigned:            0
       Group access-list:                   -none-
       Total Messages Denied to Group:      0
       Total Authentication failures:       0
       Total Bypassed Packets Received:     0

Router#sh ip wccp web-cache det
WCCP Client information:
       WCCP Client ID:          192.168.88.2
       Protocol Version:        2.0
       State:                   NOT Usable
       Redirection:             L2
       Packet Return:           L2
       Packets Redirected:    0
       Connect Time:          00:00:28
       Assignment:            MASK

 

squid:

http_port 3128 transparent
wccp2_router 192.168.88.89
wccp2_forwarding_method l2
wccp2_return_method l2
wccp2_assignment_method 1
wccp2_service standard 0

Share this post

Link to post
Share on other sites

alexander.astashov.vl   

alexander.astashov.vl
Posted

https://www.opennet.ru/base/cisco/cisco_wccp_squid.txt.html

 

Внимательно читаем п.4

 

Спасибо, это я читал, но там используется gre, а у меня l2. Попробовал один в один как в том примере, gre поднялся теперь все Usable, но все же что то не работает:

 

 

Router#sh ip wccp web-cache detail 
WCCP Client information:
       WCCP Client ID:          192.168.88.2
       Protocol Version:        2.0
       State:                   Usable
       Redirection:             GRE
       Packet Return:           GRE
       Packets Redirected:    40
       Connect Time:          00:01:34
       Assignment:            MASK

       Mask  SrcAddr    DstAddr    SrcPort DstPort
       ——  —---—    —---—    —---— —---—
       0000: 0x00000000 0x00001741 0x0000  0x0000

       Value SrcAddr    DstAddr    SrcPort DstPort CE-IP
       —--- —---—    —---—    —---— —---— —---
       0000: 0x00000000 0x00000000 0x0000  0x0000  0xC0A85802 (192.168.88.2)
       0001: 0x00000000 0x00000001 0x0000  0x0000  0xC0A85802 (192.168.88.2)
       0002: 0x00000000 0x00000040 0x0000  0x0000  0xC0A85802 (192.168.88.2)
тут куча похожих строк.....

 

 

 

192.168.88.90 - клиент, 192.168.33.90 - тестовый web сервер. дамп на gre0:

 

 

[root@localhost ~]# tcpdump -i gre0 -t
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on gre0, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes
IP 192.168.88.90.39236 > 192.168.33.90.http: Flags [s], seq 355576667, win 29200, options [mss 1460,sackOK,TS val 1703523 ecr 0,nop,wscale 7], length 0
IP 192.168.88.90.39238 > 192.168.33.90.http: Flags [s], seq 773845444, win 29200, options [mss 1460,sackOK,TS val 1703586 ecr 0,nop,wscale 7], length 0
IP 192.168.88.90.39236 > 192.168.33.90.http: Flags [s], seq 355576667, win 29200, options [mss 1460,sackOK,TS val 1703773 ecr 0,nop,wscale 7], length 0
IP 192.168.88.90.39238 > 192.168.33.90.http: Flags [s], seq 773845444, win 29200, options [mss 1460,sackOK,TS val 1703836 ecr 0,nop,wscale 7], length 0
IP 192.168.88.90.39236 > 192.168.33.90.http: Flags [s], seq 355576667, win 29200, options [mss 1460,sackOK,TS val 1704274 ecr 0,nop,wscale 7], length 0
IP 192.168.88.90.39238 > 192.168.33.90.http: Flags [s], seq 773845444, win 29200, options [mss 1460,sackOK,TS val 1704337 ecr 0,nop,wscale 7], length 0
IP 192.168.88.90.39236 > 192.168.33.90.http: Flags [s], seq 355576667, win 29200, options [mss 1460,sackOK,TS val 1705276 ecr 0,nop,wscale 7], length 0
IP 192.168.88.90.39240 > 192.168.33.90.http: Flags [s], seq 768953985, win 29200, options [mss 1460,sackOK,TS val 1705285 ecr 0,nop,wscale 7], length 0
IP 192.168.88.90.39238 > 192.168.33.90.http: Flags [s], seq 773845444, win 29200, options [mss 1460,sackOK,TS val 1705340 ecr 0,nop,wscale 7], length 0
IP 192.168.88.90.39240 > 192.168.33.90.http: Flags [s], seq 768953985, win 29200, options [mss 1460,sackOK,TS val 1705535 ecr 0,nop,wscale 7], length 0
IP 192.168.88.90.39240 > 192.168.33.90.http: Flags [s], seq 768953985, win 29200, options [mss 1460,sackOK,TS val 1706036 ecr 0,nop,wscale 7], length 0
IP 192.168.88.90.39242 > 192.168.33.90.http: Flags [s], seq 3114308301, win 29200, options [mss 1460,sackOK,TS val 1706174 ecr 0,nop,wscale 7], length 0
IP 192.168.88.90.39242 > 192.168.33.90.http: Flags [s], seq 3114308301, win 29200, options [mss 1460,sackOK,TS val 1706424 ecr 0,nop,wscale 7], length 0
IP 192.168.88.90.39242 > 192.168.33.90.http: Flags [s], seq 3114308301, win 29200, options [mss 1460,sackOK,TS val 1706925 ecr 0,nop,wscale 7], length 0
IP 192.168.88.90.39240 > 192.168.33.90.http: Flags [s], seq 768953985, win 29200, options [mss 1460,sackOK,TS val 1707038 ecr 0,nop,wscale 7], length 0

 

 

То есть запрос вижу только в одну сторону. Может в iptables чтот не то, хотя один в один как в пимере прописывал

Share this post

Link to post
Share on other sites

alexander.astashov.vl   

alexander.astashov.vl
Posted (edited)

Вы сайты РКН хотите фильтровать?

 

Неа, мне нужно уменьшить растраты на интернет. На 7200 тестово завожу, чтоб разобраться как работает и буде ли вообще. Потом на cat 6500 буду поднимать. Говорят там с этим делом проще, но рисковать и сразу заводить на 6500, нельзя))

Edited by alexander.astashov.vl

Share this post

Link to post
Share on other sites

sol   

sol
Posted
Спасибо, это я читал, но там используется gre, а у меня l2

У вас может быть всё, что угодно. Но протокол WCCP использует инкапсуляцию GRE. Вне зависимости от вашего желания и вашей возможности это распаковать.

 

То есть запрос вижу только в одну сторону. Может в iptables чтот не то, хотя один в один как в пимере прописывал

Так и должно быть. Задача циски - "передать сессию" кешу. Далее работает только сам кеш. Проверяйте маршрутизацию. Сервер с squid должен иметь маршруты к клиентам, в мир (к тестовому серверу) и не выполнять проверку Reverse Path.

 

Иными словами,

sysctl net.ipv4.ip_forward = 1

sysctl net.ipv4.conf.all.rp_filter = 0

 

и sysctl -a | grep rp_filter везде должнем быть 0.

Share this post

Link to post
Share on other sites

sol   

sol
Posted

Автор прорезался в личке (3 сообщения в день), копирую сюда. Мало ли кому понадобится.

 

Извините, я недавно создал аккаунт и пока не могу писать более 3-х сообщений в день на форуме, поэтому пишу в личку. Как вы и говорили, "и sysctl -a | grep rp_filter везде должнем быть 0." - не везде были нули. Не удобно вас просить помочь, но не могли бы подсказать что нужно сделать с роутами, а то голова пухнет и нужно закончить завтра вечером? У меня 1 физический интерфейс на сквиде который имеет доступ в локальную сеть и в интернет. С него пинги проходят до всех хостов (web-server, cisco router, local client). В браузе пользователя выдает "Не удается получить доступ к сайту ерор адрес анричбл", в дампе на интерфейсе сквида временам пролетают запросы что то вроде:

IP 192.168.33.90 > 192.168.88.90: ICMP net 192.168.33.90 UNREACHABLE, lenght 60

 

88.2 - сквид сервер

88.90 - клиент

33.90 - веб сервер

 

в студию:

 

route -n

 

ip rule

 

ifconfig

 

ip addr

 

ip route

 

[root@localhost ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.7.7.4        0.0.0.0         255.255.255.252 U     0      0        0 gre0
192.168.88.0    0.0.0.0         255.255.255.0   U     0      0        0 eth1
169.254.0.0     0.0.0.0         255.255.0.0     U     1003   0        0 eth1
169.254.0.0     0.0.0.0         255.255.0.0     U     1004   0        0 gre0

[root@localhost ~]# ip rule
0:  from all lookup local 
1000:  from 192.168.88.2 lookup service 
32766:  from all lookup main 
32767:  from all lookup default 


[root@localhost ~]# ifconfig
eth1      Link encap:Ethernet  HWaddr 08:00:27:86:7B:B4  
         inet addr:192.168.88.2  Bcast:192.168.88.255  Mask:255.255.255.0
         inet6 addr: fe80::a00:27ff:fe86:7bb4/64 Scope:Link
         UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
         RX packets:288 errors:0 dropped:0 overruns:0 frame:0
         TX packets:255 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:1000 
         RX bytes:73411 (71.6 KiB)  TX bytes:33527 (32.7 KiB)

gre0      Link encap:UNSPEC  HWaddr 00-00-00-00-FF-FF-80-2D-00-00-00-00-00-00-00-00  
         inet addr:10.7.7.5  Mask:255.255.255.252
         UP RUNNING NOARP  MTU:1476  Metric:1
         RX packets:51 errors:0 dropped:0 overruns:0 frame:0
         TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:0 
         RX bytes:3060 (2.9 KiB)  TX bytes:0 (0.0 b)

lo        Link encap:Local Loopback  
         inet addr:127.0.0.1  Mask:255.0.0.0
         inet6 addr: ::1/128 Scope:Host
         UP LOOPBACK RUNNING  MTU:65536  Metric:1
         RX packets:0 errors:0 dropped:0 overruns:0 frame:0
         TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:0 
         RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

[root@localhost ~]# ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN 
   link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
   inet 127.0.0.1/8 scope host lo
   inet6 ::1/128 scope host 
      valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000
   link/ether 08:00:27:64:62:38 brd ff:ff:ff:ff:ff:ff
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
   link/ether 08:00:27:86:7b:b4 brd ff:ff:ff:ff:ff:ff
   inet 192.168.88.2/24 brd 192.168.88.255 scope global eth1
   inet6 fe80::a00:27ff:fe86:7bb4/64 scope link 
      valid_lft forever preferred_lft forever
4: gre0: <NOARP,UP,LOWER_UP> mtu 1476 qdisc noqueue state UNKNOWN 
   link/gre 0.0.0.0 brd 0.0.0.0
   inet 10.7.7.5/30 brd 10.7.7.7 scope global gre0
5: gretap0: <BROADCAST,MULTICAST> mtu 1476 qdisc noop state DOWN qlen 1000
   link/ether 00:00:00:00:00:00 brd ff:ff:ff:ff:ff:ff


[root@localhost ~]# ip route
10.7.7.4/30 dev gre0  proto kernel  scope link  src 10.7.7.5 
192.168.88.0/24 dev eth1  proto kernel  scope link  src 192.168.88.2 
169.254.0.0/16 dev eth1  scope link  metric 1003 
169.254.0.0/16 dev gre0  scope link  metric 1004

 

1. echo NOZEROCONF=yes >> /etc/sysconfig/network и потом ребутнуться. Это задушит link local адреса вида 169.254.0.0

 

2. Пакеты от 192.168.88.2 попадают в таблицу service

а. Зачем?

б. ip route list table service

 

3. Предлагаю избавится от этой доп. таблицы и всё сделать в глобальной маршрутизации, не трогая PBR.

Share this post

Link to post
Share on other sites

alexander.astashov.vl   

alexander.astashov.vl
Posted

3. Предлагаю избавится от этой доп. таблицы и всё сделать в глобальной маршрутизации, не трогая PBR

[root@localhost ~]# ip route list table service
default via 192.168.88.1 dev eth1  proto static

 

Убрал все:

 

 

[root@localhost ~]# ip rule
0:  from all lookup local 
32766:  from all lookup main 
32767:  from all lookup default 
[root@localhost ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.7.7.4        0.0.0.0         255.255.255.252 U     0      0        0 gre0
192.168.88.0    0.0.0.0         255.255.255.0   U     0      0        0 eth1

 

 

Ссылка на скрин: https://drive.google.com/file/d/0B5Gxib2YKv4xREV2Q3A1R29PVHc/view?usp=sharing

 

Если прописывать маршрут по умолчанию:

 

 

[root@localhost ~]# ip route add default via 192.168.88.1
[root@localhost ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.7.7.4        0.0.0.0         255.255.255.252 U     0      0        0 gre0
192.168.88.0    0.0.0.0         255.255.255.0   U     0      0        0 eth1
0.0.0.0         192.168.88.1    0.0.0.0         UG    0      0        0 eth1

 

 

 

Ссылка на крин: https://drive.google.com/file/d/0B5Gxib2YKv4xd2I3T01oNTljVlk/view?usp=sharing

 

 

Еще пробовал вот так:

 

 

[root@localhost ~]# ip route add 192.168.88.2 via 192.168.88.1 dev eth1
[root@localhost ~]# ip route
192.168.88.2 via 192.168.88.1 dev eth1 
10.7.7.4/30 dev gre0  proto kernel  scope link  src 10.7.7.5 
192.168.88.0/24 dev eth1  proto kernel  scope link  src 192.168.88.2 
[root@localhost ~]# 
[root@localhost ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.88.2    192.168.88.1    255.255.255.255 UGH   0      0        0 eth1
10.7.7.4        0.0.0.0         255.255.255.252 U     0      0        0 gre0
192.168.88.0    0.0.0.0         255.255.255.0   U     0      0        0 eth1

 

 

Ссылка на скрин: https://drive.google.com/file/d/0B5Gxib2YKv4xN0lDNnVXN0xGNTg/view?usp=sharing

Share this post

Link to post
Share on other sites

sol   

sol
Posted

В первом случае клиент шлёт syn вебсерверу. Сервер отвечает, что сеть недостижима. СЕРВЕР отвечает. route -n с вебсервера в студию.

 

По второму случаю не ясно, где снят дамп.

 

По третьему не понятно, кто такой 149.154.167.51

 

Вообще, рисуйте топологию.

Share this post

Link to post
Share on other sites

alexander.astashov.vl   

alexander.astashov.vl
Posted (edited)

Решил поменять кое что и заново скидываю все настройки. Мне кажется что решение тривиальное, но я уже начал "в шары долбиться". Спасибо что помогаете))):

 

Топология:

 

 

13949099.png

 

 

 

Конфиги 7200:

 

 

ip wccp web-cache redirect-list wccp_redirection
!
!
interface GigabitEthernet0/1
description Internet
ip address 192.168.33.202 255.255.255.0
ip access-group 101 in
media-type rj45
speed auto
duplex auto
negotiation auto
!
interface GigabitEthernet0/2
description User
ip address 192.168.88.1 255.255.255.0
ip access-group 10 in
ip wccp web-cache redirect in
media-type rj45
speed auto
duplex auto
negotiation auto
!
interface GigabitEthernet0/3
description Link to Cach
no ip address
media-type rj45
speed auto
duplex auto
negotiation auto
!
interface GigabitEthernet0/3.3
encapsulation dot1Q 3 native
ip address 192.168.55.1 255.255.255.0
no ip redirects
no ip unreachables
no ip mroute-cache
no cdp enable
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.33.90
!
!
no ip http server
no ip http secure-server
!
ip access-list standard wccp_redirection
permit any
permit 192.168.88.0 0.0.0.255
!
access-list 10 permit any
access-list 10 permit 192.168.88.0 0.0.0.255

 

 

 

Конфиги Squid:

 

 

[root@localhost ~]# cat /etc/squid/squid.conf
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl localnet src 192.168.88.0/24
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1

acl SSL_ports port 443
acl Safe_ports port 80    # http
acl Safe_ports port 21    # ftp
acl Safe_ports port 443    # https
acl Safe_ports port 70    # gopher
acl Safe_ports port 210    # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280    # http-mgmt
acl Safe_ports port 488    # gss-http
acl Safe_ports port 591    # filemaker
acl Safe_ports port 777    # multiling http
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_access allow localnet
http_access allow localhost

http_access deny all

http_port 3128

coredump_dir /var/spool/squid

refresh_pattern ^ftp:    1440  20%  10080
refresh_pattern ^gopher:  1440  0%  1440
refresh_pattern -i (/cgi-bin/|\?) 0  0%  0
refresh_pattern .    0  20%  4320

visible_hostname squid.mx.kg

wccp2_router 192.168.55.1
wccp2_forwarding_method gre
wccp2_return_method gre
wccp2_service standard 0

http_port 3128 transparent

hierarchy_stoplist cgi-bin ?

 

 

 

Squid сервер:

 

 

Сейчас удалил роуты, чтобы не мешались

[root@localhost ~]# ip route
10.7.7.4/30 dev gre0  proto kernel  scope link  src 10.7.7.5 
192.168.55.0/24 dev eth1  proto kernel  scope link  src 192.168.55.2 
default via 192.168.55.1 dev eth1 

[root@localhost ~]# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.7.7.4        0.0.0.0         255.255.255.252 U     0      0        0 gre0
192.168.55.0    0.0.0.0         255.255.255.0   U     0      0        0 eth1
0.0.0.0         192.168.55.1    0.0.0.0         UG    0      0        0 eth1

[root@localhost ~]# ip route
10.7.7.4/30 dev gre0  proto kernel  scope link  src 10.7.7.5 
192.168.55.0/24 dev eth1  proto kernel  scope link  src 192.168.55.2 
default via 192.168.55.1 dev eth1 

[root@localhost ~]# ifconfig
eth1      Link encap:Ethernet  HWaddr 08:00:27:86:7B:B4  
         inet addr:192.168.55.2  Bcast:192.168.55.255  Mask:255.255.255.0
         inet6 addr: fe80::a00:27ff:fe86:7bb4/64 Scope:Link
         UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
         RX packets:297 errors:0 dropped:0 overruns:0 frame:0
         TX packets:402 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:1000 
         RX bytes:33889 (33.0 KiB)  TX bytes:44277 (43.2 KiB)

gre0      Link encap:UNSPEC  HWaddr 00-00-00-00-FF-FF-80-ED-00-00-00-00-00-00-00-00  
         inet addr:10.7.7.5  Mask:255.255.255.252
         UP RUNNING NOARP  MTU:1476  Metric:1
         RX packets:0 errors:0 dropped:0 overruns:0 frame:0
         TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:0 
         RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

lo        Link encap:Local Loopback  
         inet addr:127.0.0.1  Mask:255.0.0.0
         inet6 addr: ::1/128 Scope:Host
         UP LOOPBACK RUNNING  MTU:65536  Metric:1
         RX packets:0 errors:0 dropped:0 overruns:0 frame:0
         TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:0 
         RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

[root@localhost ~]# ip addr

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN 
   link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
   inet 127.0.0.1/8 scope host lo
   inet6 ::1/128 scope host 
      valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000
   link/ether 08:00:27:64:62:38 brd ff:ff:ff:ff:ff:ff
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
   link/ether 08:00:27:86:7b:b4 brd ff:ff:ff:ff:ff:ff
   inet 192.168.55.2/24 brd 192.168.55.255 scope global eth1
   inet6 fe80::a00:27ff:fe86:7bb4/64 scope link 
      valid_lft forever preferred_lft forever
4: gre0: <NOARP,UP,LOWER_UP> mtu 1476 qdisc noqueue state UNKNOWN 
   link/gre 0.0.0.0 brd 0.0.0.0
   inet 10.7.7.5/30 brd 10.7.7.7 scope global gre0
5: gretap0: <BROADCAST,MULTICAST> mtu 1476 qdisc noop state DOWN qlen 1000
   link/ether 00:00:00:00:00:00 brd ff:ff:ff:ff:ff:ff

[root@localhost ~]# ip rule
0:  from all lookup local 
32766:  from all lookup main 
32767:  from all lookup default 

[root@localhost ~]# cat /etc/sysconfig/iptables
# Generated by iptables-save v1.4.7 on Tue Aug 30 08:08:37 2016
*mangle
:PREROUTING ACCEPT [1558:151364]
:INPUT ACCEPT [1458:145364]
:FORWARD ACCEPT [54:3240]
:OUTPUT ACCEPT [590:90944]
:POSTROUTING ACCEPT [644:94184]
COMMIT
# Completed on Tue Aug 30 08:08:37 2016
# Generated by iptables-save v1.4.7 on Tue Aug 30 08:08:37 2016
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state —state RELATED,ESTABLISHED -j ACCEPT 
-A INPUT -p icmp -j ACCEPT 
-A INPUT -i eth1 -j ACCEPT 
-A INPUT -p tcp -m state —state NEW -m tcp —dport 22 -j ACCEPT 
-A INPUT -j REJECT —reject-with icmp-host-prohibited 
-A INPUT -i lo -j ACCEPT 
-A INPUT -i gre0 -j ACCEPT 
-A INPUT -s 192.168.55.1 -i eth1 -p gre -j ACCEPT 
-A INPUT -s 192.168.55.1 -i eth1 -p udp -m udp —dport 2048 -j ACCEPT 
-A FORWARD -m state —state RELATED,ESTABLISHED -j ACCEPT 
-A FORWARD -p icmp -j ACCEPT 
-A FORWARD -i lo -j ACCEPT 
-A FORWARD -i eth1 -j ACCEPT 
-A FORWARD -o eth1 -j ACCEPT 
-A FORWARD -j REJECT —reject-with icmp-host-prohibited 
-A OUTPUT -j ACCEPT 
-A OUTPUT -j ACCEPT 
COMMIT
# Completed on Tue Aug 30 08:08:37 2016
# Generated by iptables-save v1.4.7 on Tue Aug 30 08:08:37 2016
*nat
:PREROUTING ACCEPT [577:62530]
:POSTROUTING ACCEPT [12:744]
:OUTPUT ACCEPT [3:316]
-A PREROUTING -i gre0 -p tcp -m tcp —dport 80 -j DNAT —to-destination 192.168.55.2:3128
-A POSTROUTING -o eth1 -j MASQUERADE 
COMMIT
# Completed on Tue Aug 30 08:08:37 2016

 

 

 

Web server:

 

 

aastashov@TO-aastashov:~$route -n
Таблица маршутизации ядра протокола IP
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0         192.168.33.202  0.0.0.0         UG    0      0        0 eth0
192.168.33.0    0.0.0.0         255.255.255.0   U     1      0        0 eth0

aastashov@TO-aastashov:~$ ip route
default via 192.168.33.202 dev eth0  proto static 
192.168.33.0/24 dev eth0  proto kernel  scope link  src 192.168.33.90  metric 1

aastashov@TO-aastashov:~$ ifconfig
eth0      Link encap:Ethernet  HWaddr 74:ea:3a:81:67:c7  
         inet addr:192.168.33.90  Bcast:192.168.33.255  Mask:255.255.255.0
         inet6 addr: fe80::76ea:3aff:fe81:67c7/64 Scope:Link
         UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
         RX packets:1751 errors:0 dropped:60 overruns:0 frame:0
         TX packets:338 errors:1 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:1000 
         RX bytes:146472 (146.4 KB)  TX bytes:46082 (46.0 KB)

lo        Link encap:Локальная петля (Loopback)  
         inet addr:127.0.0.1  Mask:255.0.0.0
         inet6 addr: ::1/128 Scope:Host
         UP LOOPBACK RUNNING  MTU:65536  Metric:1
         RX packets:1835 errors:0 dropped:0 overruns:0 frame:0
         TX packets:1835 errors:0 dropped:0 overruns:0 carrier:0
         collisions:0 txqueuelen:1 
         RX bytes:248800 (248.8 KB)  TX bytes:248800 (248.8 KB)

aastashov@TO-aastashov:~$ ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1
   link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
   inet 127.0.0.1/8 scope host lo
      valid_lft forever preferred_lft forever
   inet6 ::1/128 scope host 
      valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
   link/ether 74:ea:3a:81:67:c7 brd ff:ff:ff:ff:ff:ff
   inet 192.168.33.90/24 brd 192.168.33.255 scope global eth0
      valid_lft forever preferred_lft forever
   inet6 fe80::76ea:3aff:fe81:67c7/64 scope link 
      valid_lft forever preferred_lft forever

aastashov@TO-aastashov:~$ ip rule
0:	from all lookup local 
32766:	from all lookup main 
32767:	from all lookup default

 

 

Edited by alexander.astashov.vl

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Активное оборудование Ethernet, IP, MPLS, SDN/NFV...