Cramac Posted December 13, 2008 Posted December 13, 2008 Всем привет. Подскажите как реализовать такое: сейчас есть сеть и маршрутизатор на нем две сетевые, одна смотрит в нет, вторая в сеть. интернет раздается по ВПН, клиенту выдается серый ИП. зона серых ИП натиться на интерфейс который смотрит в нет: iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o eth0 -j SNAT --to-source хх.хх.хх.210 по умолчанию iptables -P FORWARD DROP кого выпускаем, создаем правило на вход и выход в итоге имеем: eth0 xx.xxx.xx.210 маска 255.255.255.240 шлюз хх.ххх.хх.209 eth1 хх.хх.хх.1 маска 255.255.255.0 шлюза хх.хх.хх.254 провайдер выделил IP xx.xxx.xx.210-222 маска 255.255.255.240 Встал вопрос какип правилом выпускать абонента подключенного по ВПН с реальным ИП? добавляя iptables -A FORWARD -d хх.хх.хх..211/255.255.255.255 -j ACCEPT и обратное правило, народ не получает доступа в инет Вставить ник Quote
anix Posted December 13, 2008 Posted December 13, 2008 (edited) провайдер выделил IP xx.xxx.xx.210-222 маска 255.255.255.240 Встал вопрос какип правилом выпускать абонента подключенного по ВПН с реальным ИП? добавляя iptables -A FORWARD -d хх.хх.хх..211/255.255.255.255 -j ACCEPT и обратное правило, народ не получает доступа в инет а провайдер свернул на вас эти адреса? проверить трасертом откуда нибудь с инета. ну на машине проверить, что маршрут при подключении по впн создается. может без маски в правилах адреса указать (проверить, тикают счетчики или нет)? Edited December 13, 2008 by anix Вставить ник Quote
Cramac Posted December 13, 2008 Author Posted December 13, 2008 если воткнуть на прямую в провайдера (через свитчик) то все адреса работают, а так не хотят. если добавить правило вида: iptables -A FORWARD -i eth0 -o ppp+ -d хх.хх.хх.210/255.255.255.240 -j ACCEPT и его обратный, то в инет начинают все ходить из данной подсети.. Вставить ник Quote
anix Posted December 13, 2008 Posted December 13, 2008 у меня в таком варианте работало -A FORWARD -s 80.89.152.26 -d 0/0 -j ACCEPT -A FORWARD -d 80.89.152.26 -s 0/0 -j ACCEPT Вставить ник Quote
Cramac Posted December 13, 2008 Author Posted December 13, 2008 (edited) мистика какая то... в списке правил есть 313 ACCEPT all -- хх.хх.хх.211 anywhere 314 ACCEPT all -- anywhere хх.хх.хх.211 ifconfig ppp29 Link encap:Point-to-Point Protocol inet addr:10.10.10.1 P-t-P:хх.хх.хх.211 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1400 Metric:1 RX packets:15 errors:0 dropped:0 overruns:0 frame:0 TX packets:9 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:3 RX bytes:996 (996.0 b) TX bytes:119 (119.0 b) в роутах: хх.хх.хх.211 * 255.255.255.255 UH 0 0 0 ppp29 не хочет проходить и все... открыв всю подсеть ходит спокойно :( точнее не все, а только 217 адрес почему то Edited December 13, 2008 by Cramac Вставить ник Quote
Cramac Posted December 13, 2008 Author Posted December 13, 2008 уже всю голову сломал что не так... Вставить ник Quote
Cramac Posted December 14, 2008 Author Posted December 14, 2008 пробовал и с прокси, не помогло :( раньше были адреса из другой подсети что на интерфейса смотрящий в нет, все выдавалось и работало без этого...щас же из одной сети и не работает... Вставить ник Quote
ugluck Posted December 14, 2008 Posted December 14, 2008 если воткнуть на прямую в провайдера (через свитчик) то все адреса работают, а так не хотят.тоесть не заруливал провайдер вас никуда, просто подсеть выдал. отсюда видится такая ситуация: реальный адрес, выданный клиенту по впну, находится в connected-сети провайдерского роутера, и при обращении к этому адресу роутер делает арп-запрос на него. на этот запрос должен ответить ваш сервак своим мак-адресом. иптаблесы тут ни при чем, надо действительно в сторону проксиарп копать. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.