PDA

Visualizza la versione completa : debian router


Jaymare
17-04-2006, 11:43
ho una debian che sulla eth0 ha un ip pubblico configurato punto punto, su una rete di due ip pubblici quindi, e in questa rete punto-punto dall'altro lato c' un router. Sulla eth1 la debian fa da gateway per la lan. Io non voglio fare firewalling ma semplicemente usare la debian pre instradare i pacchetti da una lan all'altra. Questa la situazione attuale:

route

ip_pubblico_rete * 255.255.255.252 U 0 0 0 eth0
192.168.100.0 * 255.255.255.0 U 0 0 0 eth1
default ip_pubblico_router 0.0.0.0 UG 0 0 0 eth0

mi sembra che le informazioni per fare routing tra la rete punto-punto e la lan ci siano tutte.. perch non funziona?

Jaymare
17-04-2006, 17:05
nessuno che mi possa aiutare? forse non chiaro.. debian deve fare da router tra due reti (e a quesro punto gli faccio fare anche da firewall). La prima rete un punto-punto con router e debian (eth0) che hanno due ip pubblici contigui (/30). Sulla eth1 c' la lan.

router..
Destination Gateway Genmask Flags Metric Ref Use Iface
87.87.87.0 * 255.255.255.252 U 0 0 0 eth0
192.168.1.0 * 255.255.255.0 U 0 0 0 eth1
default 87.87.87.1 0.0.0.0 UG 0 0 0 eth0

firewall.sh..

#!/bin/sh

echo -e "\n\nSETTING UP IPTABLES FIREWALL..."
INTIF="eth1"
INTNET="192.168.1.0/24"
INTIP="192.168.1.1/24"

EXTIF="eth0"
EXTIP="87.87.87.2/30"
EXTNET="87.87.87.0/30"

echo "Loading required stateful/NAT kernel modules..."
echo " Enabling IP forwarding..."
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/ip_dynaddr

echo " External interface: $EXTIF"
echo " External interface IP address is: $EXTIP"
echo " Loading firewall server rules..."

UNIVERSE="0.0.0.0/0"

iptables -P INPUT DROP
iptables -F INPUT
iptables -P OUTPUT DROP
iptables -F OUTPUT
iptables -P FORWARD DROP
iptables -F FORWARD
iptables -F -t nat

if [ "`iptables -L | grep drop-and-log-it`" ]; then
iptables -F drop-and-log-it
fi

iptables -X

iptables -Z

iptables -N drop-and-log-it
iptables -A drop-and-log-it -j LOG --log-level info
iptables -A drop-and-log-it -j REJECT

echo -e " - Loading INPUT rulesets"
iptables -A INPUT -i lo -s $UNIVERSE -d $UNIVERSE -j ACCEPT
iptables -A INPUT -i $INTIF -s $INTNET -d $UNIVERSE -j ACCEPT
iptables -A INPUT -i $EXTIF -s $INTNET -d $UNIVERSE -j drop-and-log-it
iptables -A INPUT -i $EXTIF -s $UNIVERSE -d $EXTIP -j ACCEPT
iptables -A INPUT -i $EXTIF -s $UNIVERSE -d $EXTIP -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -s $UNIVERSE -d $UNIVERSE -j drop-and-log-it

echo -e " - Loading OUTPUT rulesets"

iptables -A OUTPUT -o lo -s $UNIVERSE -d $UNIVERSE -j ACCEPT
iptables -A OUTPUT -o $INTIF -s $EXTIP -d $INTNET -j ACCEPT
iptables -A OUTPUT -o $INTIF -s $INTIP -d $INTNET -j ACCEPT
iptables -A OUTPUT -o $EXTIF -s $UNIVERSE -d $INTNET -j drop-and-log-it
iptables -A OUTPUT -o $EXTIF -s $EXTIP -d $UNIVERSE -j ACCEPT
iptables -A OUTPUT -s $UNIVERSE -d $UNIVERSE -j drop-and-log-it


eho -e " - Loading FORWARD rulesets"

iptables -A FORWARD -i $EXTIF -o $INTIF -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT
iptables -A FORWARD -j drop-and-log-it

# Enable SNAT (MASQUERADE) functionality on $EXTIF
#iptables -t nat -A POSTROUTING -o $EXTIF -j SNAT --to $EXTIP

echo -e " Firewall server rule loading



ora.. da debian riesco a pingare fuori ma dalla lan non arrivo a pingare 87.87.87.1 che la ethernet del router ??? AIUTO!

Jaymare
17-04-2006, 18:01
qualcuno che mi aiuti a capire dove sbaglio?

cacao74
17-04-2006, 21:56
Originariamente inviato da Jaymare
qualcuno che mi aiuti a capire dove sbaglio?
1. Usa il tag [code], almeno non si perde la formattazione
ed il tutto risulta comodo da leggere.
2. non mi pare di vedere impostazioni per connessioni punto-punto.

per maggiori dettagli
man ifconfig
man route
appunti di informatica libera

ciao

Jaymare
17-04-2006, 22:06
il punto-punto configurato nel senso che ho assegnato i due ip pubblici in una rete /30. C' bisogno di qualcosa di particolare? non penso visto che debian e il router si scambiano pacchetti. Secondo me il problema nel forward dei pacchetti da una rete all'altra, li che non funziona.. facendo un tracert i pacchetti si fermano a 192.168.1.1.
Per quanto riguarda route e il file interfaces, mi sembra di averli configurati in modo corretto.. adesso li posto.

b00malek
20-04-2006, 09:33
Hai abilitato il routing??

mxa
20-04-2006, 09:44
Probabilmente (direi quasi sicuramente) devi abilitare il forward dei pacchetti, vedi qui se ti pu essere utile.
http://openskills.info/infobox.php?ID=192

Loading