Cramac Опубликовано 13 декабря, 2008 · Жалоба Всем привет. Подскажите как реализовать такое: сейчас есть сеть и маршрутизатор на нем две сетевые, одна смотрит в нет, вторая в сеть. интернет раздается по ВПН, клиенту выдается серый ИП. зона серых ИП натиться на интерфейс который смотрит в нет: iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o eth0 -j SNAT --to-source хх.хх.хх.210 по умолчанию iptables -P FORWARD DROP кого выпускаем, создаем правило на вход и выход в итоге имеем: eth0 xx.xxx.xx.210 маска 255.255.255.240 шлюз хх.ххх.хх.209 eth1 хх.хх.хх.1 маска 255.255.255.0 шлюза хх.хх.хх.254 провайдер выделил IP xx.xxx.xx.210-222 маска 255.255.255.240 Встал вопрос какип правилом выпускать абонента подключенного по ВПН с реальным ИП? добавляя iptables -A FORWARD -d хх.хх.хх..211/255.255.255.255 -j ACCEPT и обратное правило, народ не получает доступа в инет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
anix Опубликовано 13 декабря, 2008 (изменено) · Жалоба провайдер выделил IP xx.xxx.xx.210-222 маска 255.255.255.240 Встал вопрос какип правилом выпускать абонента подключенного по ВПН с реальным ИП? добавляя iptables -A FORWARD -d хх.хх.хх..211/255.255.255.255 -j ACCEPT и обратное правило, народ не получает доступа в инет а провайдер свернул на вас эти адреса? проверить трасертом откуда нибудь с инета. ну на машине проверить, что маршрут при подключении по впн создается. может без маски в правилах адреса указать (проверить, тикают счетчики или нет)? Изменено 13 декабря, 2008 пользователем anix Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 13 декабря, 2008 · Жалоба если воткнуть на прямую в провайдера (через свитчик) то все адреса работают, а так не хотят. если добавить правило вида: iptables -A FORWARD -i eth0 -o ppp+ -d хх.хх.хх.210/255.255.255.240 -j ACCEPT и его обратный, то в инет начинают все ходить из данной подсети.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
anix Опубликовано 13 декабря, 2008 · Жалоба у меня в таком варианте работало -A FORWARD -s 80.89.152.26 -d 0/0 -j ACCEPT -A FORWARD -d 80.89.152.26 -s 0/0 -j ACCEPT Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 13 декабря, 2008 (изменено) · Жалоба мистика какая то... в списке правил есть 313 ACCEPT all -- хх.хх.хх.211 anywhere 314 ACCEPT all -- anywhere хх.хх.хх.211 ifconfig ppp29 Link encap:Point-to-Point Protocol inet addr:10.10.10.1 P-t-P:хх.хх.хх.211 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1400 Metric:1 RX packets:15 errors:0 dropped:0 overruns:0 frame:0 TX packets:9 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:3 RX bytes:996 (996.0 b) TX bytes:119 (119.0 b) в роутах: хх.хх.хх.211 * 255.255.255.255 UH 0 0 0 ppp29 не хочет проходить и все... открыв всю подсеть ходит спокойно :( точнее не все, а только 217 адрес почему то Изменено 13 декабря, 2008 пользователем Cramac Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 13 декабря, 2008 · Жалоба уже всю голову сломал что не так... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
atomcity Опубликовано 13 декабря, 2008 · Жалоба proxyarp Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Cramac Опубликовано 14 декабря, 2008 · Жалоба пробовал и с прокси, не помогло :( раньше были адреса из другой подсети что на интерфейса смотрящий в нет, все выдавалось и работало без этого...щас же из одной сети и не работает... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ugluck Опубликовано 14 декабря, 2008 · Жалоба если воткнуть на прямую в провайдера (через свитчик) то все адреса работают, а так не хотят.тоесть не заруливал провайдер вас никуда, просто подсеть выдал. отсюда видится такая ситуация: реальный адрес, выданный клиенту по впну, находится в connected-сети провайдерского роутера, и при обращении к этому адресу роутер делает арп-запрос на него. на этот запрос должен ответить ваш сервак своим мак-адресом. иптаблесы тут ни при чем, надо действительно в сторону проксиарп копать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Jugernault Опубликовано 14 декабря, 2008 · Жалоба man pppd /proxyarp Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...