Здравейте,
В офиса имам 2 доставчика на Интернет. И двата ми дават реални IP адреси.
Направил съм си port forward от външните IP адреси към няколко вътрешни
ресурси, към които ми трябва достъп от Интернет (порт 9024 и порт 9025).
Сега имам следния проблем: Като дам за default gateway единия доставчик,
имаме Интернет в офиса (по първия канал), но от Интернет работи само
неговото IP (другото отговаря на ping, но не пренася портовете към
вътрешните сървъри). Като дам за default gateway другия доставчик (втория
канал), пак имаме Интернет в офиса (по втория канал), но от Интернет работи
само второто IP.
Не мога да накарам услугите на порт 9024 и порт 9025 да са достъпни и от
двата реални IP адреса едновременно.
Разследвах какво става с iptraf и tcpdump и установих, че на пакетите, които
идват по втория канал (който не е default gateway) им се отговаря по първия
канал. Много странно поведение. Вероятно не правя коректно port forwarding
настройките.
Прилагам настройките, които ползвам:
----------------------------------------------------------------------------
--------------------------------
[EMAIL PROTECTED] root]# ifconfig
eth0 Link encap:Ethernet HWaddr 00:30:84:75:1F:FD
inet addr:192.168.0.2 Bcast:192.168.0.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:49070 errors:0 dropped:0 overruns:0 frame:0
TX packets:62062 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:12892792 (12.2 Mb) TX bytes:53829268 (51.3 Mb)
Interrupt:12 Base address:0xf000
eth1 Link encap:Ethernet HWaddr 00:30:84:75:1F:CD
inet addr:192.168.2.2 Bcast:192.168.2.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:140103 errors:0 dropped:0 overruns:0 frame:0
TX packets:172704 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:17077690 (16.2 Mb) TX bytes:122130851 (116.4 Mb)
Interrupt:10 Base address:0x1000
eth2 Link encap:Ethernet HWaddr 00:08:A1:7F:1C:F4
inet addr:192.168.1.2 Bcast:192.168.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:262 errors:0 dropped:0 overruns:0 frame:0
TX packets:179 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:25975 (25.3 Kb) TX bytes:10758 (10.5 Kb)
Interrupt:11 Base address:0x3000
eth3 Link encap:Ethernet HWaddr 00:30:84:75:18:63
inet addr:192.168.6.2 Bcast:192.168.6.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:237430 errors:0 dropped:0 overruns:0 frame:0
TX packets:184918 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:181251546 (172.8 Mb) TX bytes:29625412 (28.2 Mb)
Interrupt:12 Base address:0x5000
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:581 errors:0 dropped:0 overruns:0 frame:0
TX packets:581 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:71486 (69.8 Kb) TX bytes:71486 (69.8 Kb)
tun0 Link encap:Point-to-Point Protocol
inet addr:192.168.3.1 P-t-P:192.168.3.2 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:220 errors:0 dropped:0 overruns:0 frame:0
TX packets:174 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:19580 (19.1 Kb) TX bytes:31911 (31.1 Kb)
----------------------------------------------------------------------------
--------------------------------
[EMAIL PROTECTED] root]# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use
Iface
192.168.3.2 * 255.255.255.255 UH 0 0 0 tun0
192.168.6.0 * 255.255.255.0 U 0 0 0 eth3
192.168.3.0 192.168.3.2 255.255.255.0 UG 0 0 0 tun0
192.168.2.0 * 255.255.255.0 U 0 0 0 eth1
192.168.1.0 * 255.255.255.0 U 0 0 0 eth2
192.168.0.0 * 255.255.255.0 U 0 0 0 eth0
127.0.0.0 * 255.0.0.0 U 0 0 0 lo
default 192.168.6.1 0.0.0.0 UG 0 0 0 eth3
----------------------------------------------------------------------------
--------------------------------
[EMAIL PROTECTED] root]# cat /etc/sysconfig/iptables
# Generated by iptables-save v1.2.7a on Tue Feb 3 18:59:36 2004
*nat
:PREROUTING ACCEPT [3826028:450721308]
:POSTROUTING ACCEPT [489166:30731077]
:OUTPUT ACCEPT [501461:32049378]
# DEV port forward
-A PREROUTING -i eth2 -p tcp -m tcp --dport 9024 -j DNAT --to
192.168.0.24:443
-A PREROUTING -i eth3 -p tcp -m tcp --dport 9024 -j DNAT --to
192.168.0.24:443
# PROJECT port forward
-A PREROUTING -i eth2 -p tcp -m tcp --dport 9025 -j DNAT --to
192.168.0.25:443
-A PREROUTING -i eth3 -p tcp -m tcp --dport 9025 -j DNAT --to
192.168.0.25:443
-A POSTROUTING -j MASQUERADE -s 192.168.0.0/24
-A POSTROUTING -j MASQUERADE -s 192.168.2.0/24
-A POSTROUTING -j MASQUERADE -s 192.168.3.0/24
-A POSTROUTING -j MASQUERADE -s 192.168.6.0/24
COMMIT
# Completed on Tue Feb 3 18:59:36 2004
# Generated by iptables-save v1.2.7a on Tue Feb 3 18:59:36 2004
*mangle
:PREROUTING ACCEPT [36497804:22370690460]
:INPUT ACCEPT [10012719:4687680109]
:FORWARD ACCEPT [26410023:17675681338]
:OUTPUT ACCEPT [10461124:5342939882]
:POSTROUTING ACCEPT [36825304:23005473811]
COMMIT
# Completed on Tue Feb 3 18:59:36 2004
# Generated by iptables-save v1.2.7a on Tue Feb 3 18:59:36 2004
*filter
:INPUT ACCEPT [10647040:4805420467]
:FORWARD ACCEPT [26911698:17913658231]
:OUTPUT ACCEPT [10530480:5353253885]
# DEV port forward
-A FORWARD -p tcp -i eth0 -d 192.168.0.24 --dport 443 -j ACCEPT
# PROJECT port forward
-A FORWARD -p tcp -i eth0 -d 192.168.0.25 --dport 443 -j ACCEPT
# Filter NET2 to NET0 traffic
-A FORWARD -s 192.168.2.0/24 -d 192.168.0.24/32 -p tcp --dport 443 -j ACCEPT
-A FORWARD -s 192.168.2.0/24 -d 192.168.0.0/24 -j DROP
COMMIT
----------------------------------------------------------------------------
--------------------------------
Някой има ли идея къде бъркам?
Svetlin Nakov
Director Training and Consulting Activities
National Academy for Software Development
http://academy.devbg.org
_______________________________________________
Lug-bg mailing list
Lug-bg@linux-bulgaria.org
http://linux-bulgaria.org/mailman/listinfo/lug-bg
