Debian помощь в настройке gateway

Автор po4er, 14 апреля 2017, 10:29:55

« назад - далее »

0 Пользователи и 4 гостей просматривают эту тему.

po4er

Добрый день, уважаемые форумчане. Столкнулся с проблемой настройки gateway на Debian Edu. По умолчанию имеется 2 сетевые карточки с готовыми прописанными настройками:
auto lo
iface lo inet loopback
    dns-search intern
    dns-nameservers 127.0.0.1

auto eth0
iface eth0 inet static
    address 10.0.2.2
    netmask 255.0.0.0
    broadcast 10.255.255.255
    gateway 10.0.0.1
# The commented lines below is to be used if a DHCP server is in use
#iface eth0 inet dhcp

auto eth1
iface eth1 inet static
    address 192.168.0.254
    netmask 255.255.255.0
    broadcast 192.168.0.255
# The commented lines below is to be used if a DHCP server is in use
#iface eth1 inet dhcp

Eth0 работает в роли host с включенным по умолчанию Dhcp, и направленным шлюзом 10.0.0.1 нужно с обязательно включенным Dns.
Eth1 используется для тонких клиентов( прописаны две подсети 192.168.0.1- 168.1.0 ). + в будущем планируется через эту подсеть пустить трафик от Ubiquity unifi.

Доставлена карточка eth2, хочется сделать её шлюзом. Iptables ещё ничего не прописано, разрешено всё по умолчанию. Помогите как это сделать? В дебиане соображаю, но не очень. Всем спасибо.

используйте теги для оформления постов, ogost

sidbar

Devuan GNU/Linux

po4er

Цитата: sidbar от 14 апреля 2017, 12:09:56
# netstat -nr

На данный момент в eth0 подключен роутер, чтобы получить интернет.

Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         10.0.0.1        0.0.0.0         UG        0 0          0 eth0
10.0.0.0        0.0.0.0         255.0.0.0       U         0 0          0 eth0
192.168.0.0     0.0.0.0         255.255.255.0   U         0 0          0 eth1

sidbar

Devuan GNU/Linux

po4er


COMMAND     PID        USER   FD   TYPE  DEVICE SIZE/OFF NODE NAME
systemd       1        root   36u  IPv4   13126      0t0  TCP *:imap2 (LISTEN)
systemd       1        root   37u  IPv6   13127      0t0  TCP *:imap2 (LISTEN)
systemd       1        root   38u  IPv4   13128      0t0  TCP *:imaps (LISTEN)
systemd       1        root   39u  IPv6   13129      0t0  TCP *:imaps (LISTEN)
inetd      1071        root    4u  IPv4   13529      0t0  TCP *:auth (LISTEN)
inetd      1071        root    5u  IPv4   13531      0t0  UDP *:tftp
inetd      1071        root    6u  IPv4   13533      0t0  TCP *:9571 (LISTEN)
named      1073        bind   20u  IPv6   13601      0t0  TCP *:domain (LISTEN)
named      1073        bind   21u  IPv4   13605      0t0  TCP 127.0.0.1:domain (LISTEN)
named      1073        bind   22u  IPv4   13607      0t0  TCP 10.0.2.2:domain (LISTEN)
named      1073        bind   23u  IPv4   13609      0t0  TCP 10.0.3.254:domain (LISTEN)
named      1073        bind   24u  IPv4   13717      0t0  TCP 192.168.0.254:domain (LISTEN)
named      1073        bind   25u  IPv4   14026      0t0  TCP 127.0.0.1:953 (LISTEN)
named      1073        bind   26u  IPv6   14027      0t0  TCP [::1]:953 (LISTEN)
named      1073        bind  512u  IPv6   13600      0t0  UDP *:domain
named      1073        bind  513u  IPv6   13600      0t0  UDP *:domain
named      1073        bind  514u  IPv4   13604      0t0  UDP 127.0.0.1:domain
named      1073        bind  515u  IPv4   13604      0t0  UDP 127.0.0.1:domain
named      1073        bind  516u  IPv4   13606      0t0  UDP 10.0.2.2:domain
named      1073        bind  517u  IPv4   13606      0t0  UDP 10.0.2.2:domain
named      1073        bind  518u  IPv4   13608      0t0  UDP 10.0.3.254:domain
named      1073        bind  519u  IPv4   13608      0t0  UDP 10.0.3.254:domain
named      1073        bind  520u  IPv4   13716      0t0  UDP 192.168.0.254:domain
named      1073        bind  521u  IPv4   13716      0t0  UDP 192.168.0.254:domain
sshd       1084        root    3u  IPv4   14772      0t0  TCP *:ssh (LISTEN)
sshd       1084        root    4u  IPv6   14831      0t0  TCP *:ssh (LISTEN)
avahi-dae  1095       avahi   12u  IPv4   15915      0t0  UDP *:mdns
avahi-dae  1095       avahi   13u  IPv6   15916      0t0  UDP *:mdns
avahi-dae  1095       avahi   14u  IPv4   15917      0t0  UDP *:46356
avahi-dae  1095       avahi   15u  IPv6   15918      0t0  UDP *:56858
rsyslogd   1121        root    5u  IPv4   14841      0t0  UDP *:syslog
rsyslogd   1121        root    6u  IPv6   14842      0t0  UDP *:syslog
munin-nod  1214        root    5u  IPv6   16205      0t0  TCP *:munin (LISTEN)
cups-brow  1217        root    5u  IPv6   15243      0t0  TCP [::1]:57566->[::1]:ipp (CLOSE_WAIT)
cups-brow  1217        root    7u  IPv4   16216      0t0  UDP *:ipp
nbd-serve  1276         nbd    4u  IPv4   16722      0t0  TCP *:nbd (LISTEN)
ntpd       1342         ntp   16u  IPv4   17054      0t0  UDP *:ntp
ntpd       1342         ntp   17u  IPv6   17059      0t0  UDP *:ntp
ntpd       1342         ntp   18u  IPv4   17068      0t0  UDP 127.0.0.1:ntp
ntpd       1342         ntp   19u  IPv4   17069      0t0  UDP 10.0.2.2:ntp
ntpd       1342         ntp   20u  IPv4   17070      0t0  UDP 10.0.3.254:ntp
ntpd       1342         ntp   21u  IPv4   17071      0t0  UDP 192.168.0.254:ntp
ntpd       1342         ntp   22u  IPv6   17072      0t0  UDP [::1]:ntp
ntpd       1342         ntp   23u  IPv6   17073      0t0  UDP [fe80::211:85ff:fe04:6508]:ntp
nrpe       1343      nagios    3u  IPv4   17063      0t0  TCP *:nrpe (LISTEN)
nrpe       1343      nagios    4u  IPv6   17064      0t0  TCP *:nrpe (LISTEN)
xrdp       1346        xrdp    6u  IPv4   18167      0t0  TCP *:3389 (LISTEN)
rpcbind    1350        root    6u  IPv4   17088      0t0  UDP *:sunrpc
rpcbind    1350        root    7u  IPv4   17094      0t0  UDP *:677
rpcbind    1350        root    8u  IPv4   17095      0t0  TCP *:sunrpc (LISTEN)
rpcbind    1350        root    9u  IPv6   17929      0t0  UDP *:sunrpc
rpcbind    1350        root   10u  IPv6   17930      0t0  UDP *:677
rpcbind    1350        root   11u  IPv6   17931      0t0  TCP *:sunrpc (LISTEN)
xrdp-sesm  1382        root    6u  IPv4   17275      0t0  TCP 127.0.0.1:3350 (LISTEN)
slapd      1436    openldap    9u  IPv4   16995      0t0  TCP *:ldap (LISTEN)
slapd      1436    openldap   10u  IPv4   16996      0t0  TCP *:ldaps (LISTEN)
slapd      1436    openldap   30u  IPv4   18796      0t0  TCP 10.0.2.2:ldap->10.0.2.2:33317 (ESTABLISHED)
slapd      1436    openldap   34u  IPv4   20102      0t0  TCP 10.0.2.2:ldap->10.0.2.2:33320 (ESTABLISHED)
slapd      1436    openldap   37u  IPv4   19203      0t0  TCP 10.0.2.2:ldap->10.0.2.2:33322 (ESTABLISHED)
slapd      1436    openldap   38u  IPv4   19396      0t0  TCP 10.0.2.2:ldap->10.0.2.2:33327 (ESTABLISHED)
slapd      1436    openldap   42u  IPv4   25198      0t0  TCP 10.0.2.2:ldap->10.0.2.2:33343 (ESTABLISHED)
slapd      1436    openldap   43u  IPv4   62005      0t0  TCP 10.0.2.2:ldap->10.0.2.2:33482 (ESTABLISHED)
squid3     1485       proxy    7u  IPv6   18165      0t0  UDP *:40458
squid3     1485       proxy    8u  IPv4   18166      0t0  UDP *:38277
squid3     1485       proxy   13u  IPv6  559358      0t0  UDP [::1]:52184->[::1]:48108
squid3     1485       proxy   17u  IPv6   18364      0t0  TCP *:3128 (LISTEN)
kadmind    1488        root   12u  IPv4   17384      0t0  UDP *:kpasswd
kadmind    1488        root   13u  IPv6   17389      0t0  UDP [fe80::211:85ff:fe04:6508]:kpasswd
kadmind    1488        root   14u  IPv6   17392      0t0  TCP *:kpasswd (LISTEN)
kadmind    1488        root   15u  IPv4   17393      0t0  TCP *:kpasswd (LISTEN)
kadmind    1488        root   16u  IPv4   17394      0t0  TCP *:kerberos-adm (LISTEN)
kadmind    1488        root   17u  IPv6   17395      0t0  TCP *:kerberos-adm (LISTEN)
krb5kdc    1788        root   12u  IPv4   19659      0t0  UDP *:kerberos
krb5kdc    1788        root   13u  IPv4   19660      0t0  UDP *:kerberos4
krb5kdc    1788        root   14u  IPv6   19665      0t0  UDP [fe80::211:85ff:fe04:6508]:kerberos
krb5kdc    1788        root   15u  IPv6   19667      0t0  UDP [fe80::211:85ff:fe04:6508]:kerberos4
nslcd      1802       nslcd    5u  IPv4   20346      0t0  TCP 10.0.2.2:33327->10.0.2.2:ldap (ESTABLISHED)
nslcd      1802       nslcd    8u  IPv4   20099      0t0  TCP 10.0.2.2:33320->10.0.2.2:ldap (ESTABLISHED)
nslcd      1802       nslcd   10u  IPv4   25197      0t0  TCP 10.0.2.2:33343->10.0.2.2:ldap (ESTABLISHED)
nslcd      1802       nslcd   11u  IPv4   20177      0t0  TCP 10.0.2.2:33322->10.0.2.2:ldap (ESTABLISHED)
nslcd      1802       nslcd   12u  IPv4   62003      0t0  TCP 10.0.2.2:33482->10.0.2.2:ldap (ESTABLISHED)
dhcpd      1813        root    6u  IPv4   19779      0t0  TCP 10.0.2.2:33317->10.0.2.2:ldap (ESTABLISHED)
dhcpd      1813        root   10u  IPv4   19783      0t0  UDP *:bootps
dhcpd      1813        root   20u  IPv4   19780      0t0  UDP *:23088
dhcpd      1813        root   21u  IPv6   19781      0t0  UDP *:29002
nmbd       1822        root   19u  IPv4   19860      0t0  UDP *:netbios-ns
nmbd       1822        root   20u  IPv4   19861      0t0  UDP *:netbios-dgm
nmbd       1822        root   21u  IPv4   19863      0t0  UDP 10.0.2.2:netbios-ns
nmbd       1822        root   22u  IPv4   19864      0t0  UDP 10.255.255.255:netbios-ns
nmbd       1822        root   23u  IPv4   19865      0t0  UDP 10.0.2.2:netbios-dgm
nmbd       1822        root   24u  IPv4   19866      0t0  UDP 10.255.255.255:netbios-dgm
smbd       1836        root   36u  IPv4   20508      0t0  TCP 10.0.2.2:microsoft-ds (LISTEN)
smbd       1836        root   37u  IPv4   20509      0t0  TCP 10.0.2.2:netbios-ssn (LISTEN)
smbd       1836        root   38u  IPv4   20510      0t0  TCP 127.0.0.1:microsoft-ds (LISTEN)
smbd       1836        root   39u  IPv4   20511      0t0  TCP 127.0.0.1:netbios-ssn (LISTEN)
dovecot    1849        root    3u  IPv4   13126      0t0  TCP *:imap2 (LISTEN)
dovecot    1849        root    4u  IPv6   13127      0t0  TCP *:imap2 (LISTEN)
dovecot    1849        root    5u  IPv4   13128      0t0  TCP *:imaps (LISTEN)
dovecot    1849        root    6u  IPv6   13129      0t0  TCP *:imaps (LISTEN)
exim4      1888 Debian-exim    4u  IPv6   20202      0t0  TCP *:smtp (LISTEN)
exim4      1888 Debian-exim    5u  IPv4   20203      0t0  TCP *:smtp (LISTEN)
apache2    2028        root    4u  IPv6   22142      0t0  TCP *:http (LISTEN)
apache2    2028        root    6u  IPv6   22145      0t0  TCP *:https (LISTEN)
wineserve  3107      po4erk   77u  IPv4   27265      0t0  TCP 127.0.0.1:56133->127.0.0.1:5939 (ESTABLISHED)
firefox-e  3255      po4erk   62u  IPv4 1998071      0t0  TCP 10.0.2.2:60290->172.217.20.174:https (ESTABLISHED)
firefox-e  3255      po4erk   63u  IPv4 2000909      0t0  TCP 10.0.2.2:53937->159.253.20.106:https (ESTABLISHED)
firefox-e  3255      po4erk   70u  IPv4 2000256      0t0  TCP 10.0.2.2:53938->159.253.20.106:https (ESTABLISHED)
firefox-e  3255      po4erk   71u  IPv4 2000257      0t0  TCP 10.0.2.2:53939->159.253.20.106:https (ESTABLISHED)
firefox-e  3255      po4erk   73u  IPv4 2000258      0t0  TCP 10.0.2.2:53940->159.253.20.106:https (ESTABLISHED)
firefox-e  3255      po4erk   74u  IPv4 2000259      0t0  TCP 10.0.2.2:53941->159.253.20.106:https (ESTABLISHED)
firefox-e  3255      po4erk   75u  IPv4 2001010      0t0  TCP 10.0.2.2:53942->159.253.20.106:https (ESTABLISHED)
apache2   21592    www-data    4u  IPv6   22142      0t0  TCP *:http (LISTEN)
apache2   21592    www-data    6u  IPv6   22145      0t0  TCP *:https (LISTEN)
apache2   21593    www-data    4u  IPv6   22142      0t0  TCP *:http (LISTEN)
apache2   21593    www-data    6u  IPv6   22145      0t0  TCP *:https (LISTEN)
apache2   21594    www-data    4u  IPv6   22142      0t0  TCP *:http (LISTEN)
apache2   21594    www-data    6u  IPv6   22145      0t0  TCP *:https (LISTEN)
apache2   21595    www-data    4u  IPv6   22142      0t0  TCP *:http (LISTEN)
apache2   21595    www-data    6u  IPv6   22145      0t0  TCP *:https (LISTEN)
apache2   21597    www-data    4u  IPv6   22142      0t0  TCP *:http (LISTEN)
apache2   21597    www-data    6u  IPv6   22145      0t0  TCP *:https (LISTEN)
cupsd     21622        root   10u  IPv4  559241      0t0  TCP *:ipp (LISTEN)
cupsd     21622        root   11u  IPv6  559242      0t0  TCP *:ipp (LISTEN)
pinger    21735       proxy    0u  IPv6  559357      0t0  UDP [::1]:48108->[::1]:52184
pinger    21735       proxy    1u  IPv6  559357      0t0  UDP [::1]:48108->[::1]:52184
apache2   28906    www-data    4u  IPv6   22142      0t0  TCP *:http (LISTEN)
apache2   28906    www-data    6u  IPv6   22145      0t0  TCP *:https (LISTEN)


sidbar

Devuan GNU/Linux

po4er

eth2 должна стать для eth0 и eth1 шлюзом выхода в интернет

sidbar

Devuan GNU/Linux

po4er

Совершенно верно поняли. Или имеются какието варианті по лучше?

sidbar

Попробуйте примерно такого содержания файл firewall.sh:
#!/bin/bash

export IPT="iptables"

$IPT -F
$IPT -F -t nat
$IPT -F -t mangle
$IPT -X
$IPT -t nat -X
$IPT -t mangle -X

$IPT -F INPUT
$IPT -F OUTPUT
$IPT -F FORWARD

$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP

$IPT -A INPUT -i lo -p all -j ACCEPT
$IPT -A OUTPUT -o lo -p all -j ACCEPT

$IPT -A INPUT -m state --state INVALID -j DROP
$IPT -A FORWARD -m state --state INVALID -j DROP
$IPT -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
$IPT -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP
$IPT -A INPUT -p icmp --icmp-type echo-request -m recent --name ping_limiter --update --hitcount 6 --seconds 4 -j DROP

$IPT -A INPUT -p tcp --dport 3128 -m state --state NEW -j ACCEPT
$IPT -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

$IPT -A OUTPUT -p all -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

route -n
$IPT -L -v -n
Devuan GNU/Linux

po4er

Спасибо, завтра попробую. По идеи должно все работать?

sidbar

Цитата: po4er от 16 апреля 2017, 20:59:09По идеи должно все работать?
Чтобы точно ответить надо знать что включает в себя все. Чтобы смогли подключиться к вашему компьютеру по ssh добавьте правило:

$IPT -A INPUT -p tcp --dport 22 -m state --state NEW -j ACCEPT
Devuan GNU/Linux

po4er

#12
Возможно делаю что то не так, но не получается стунуть в мир:


auto lo
iface lo inet loopback
    dns-search intern
    dns-nameservers 127.0.0.1

auto eth0
iface eth0 inet static
    address 10.0.2.2
    netmask 255.0.0.0
    broadcast 10.255.255.255
    gateway 10.0.0.1
# The commented lines below is to be used if a DHCP server is in use
#iface eth0 inet dhcp

auto eth1
iface eth1 inet static
    address 192.168.0.254
    netmask 255.255.255.0
    broadcast 192.168.0.255
# The commented lines below is to be used if a DHCP server is in use
#iface eth1 inet dhcp

auto eth2
iface eth2 inet static
    address 10.0.0.1
    netmask 255.0.0.0
    broadcast 10.255.255.255
    gateway 10.0.0.254
# The commented lines below is to be used if a DHCP server is in use
#iface eth1 inet dhcp


route -n

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.0.0.1        0.0.0.0         UG    0      0        0 eth0
10.0.0.0        0.0.0.0         255.0.0.0       U     0      0        0 eth0
10.0.0.0        0.0.0.0         255.0.0.0       U     0      0        0 eth2
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1


sh /etc/firewall.sh

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         10.0.0.1        0.0.0.0         UG    0      0        0 eth0                                                                                     
10.0.0.0        0.0.0.0         255.0.0.0       U     0      0        0 eth0                                                                                     
10.0.0.0        0.0.0.0         255.0.0.0       U     0      0        0 eth2                                                                                     
192.168.0.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0           
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            state INVALID
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:!0x17/0x02 state NEW
    0     0 DROP       icmp --  *      *       0.0.0.0/0            0.0.0.0/0            icmptype 8 recent: UPDATE seconds: 4 hit_count: 6 name: ping_limiter side: source mask: 255.255.255.255
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp dpt:3128 state NEW
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination         
    0     0 DROP       all  --  *      *       0.0.0.0/0            0.0.0.0/0            state INVALID

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     all  --  *      lo      0.0.0.0/0            0.0.0.0/0           
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            tcp flags:!0x17/0x02 state NEW
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW,RELATED,ESTABLISHED


iptables -L

Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere           
DROP       all  --  anywhere             anywhere             state INVALID
DROP       tcp  --  anywhere             anywhere             tcp flags:!FIN,SYN,RST,ACK/SYN state NEW
DROP       icmp --  anywhere             anywhere             icmp echo-request recent: UPDATE seconds: 4 hit_count: 6 name: ping_limiter side: source mask: 255.255.255.255
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:3128 state NEW
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED

Chain FORWARD (policy DROP)
target     prot opt source               destination         
DROP       all  --  anywhere             anywhere             state INVALID

Chain OUTPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere           
DROP       tcp  --  anywhere             anywhere             tcp flags:!FIN,SYN,RST,ACK/SYN state NEW
ACCEPT     all  --  anywhere             anywhere             state NEW,RELATED,ESTABLISHED


После раскоментирования строчки net.ipv4.ip_forward=1 все равно не пошло. в чем может быть проблема?
Возможно в конфигурацию eth2 надо было прописать настройки ДНС?

sidbar

Цитата: po4er от 18 апреля 2017, 10:01:25После раскоментирования строчки net.ipv4.ip_forward=1 все равно не пошло
Давайте по-порядку, где эту строку вы раскоментировали? В мир нет доступа потому-что вы перекинули инет на eth2 а пакеты идут на eth0
Devuan GNU/Linux

po4er

Цитата: sidbar от 18 апреля 2017, 11:03:45Давайте по-порядку, где эту строку вы раскоментировали?
/etc/sysctl.conf