Cum coane, nu ai auzit de netmask-uri si de structura ierarhica a unei retele IP? Cum poti sa emiti astfel de bazaconii? Dpdv a ruterului, el considera ca poate ajunge la toata clasa ta direct de pe interfata lui, fara nici un ruter intre el si oricare din ip-urile alea, asa ca daca vrei sa folosesti toata clasa ai citeva solutii:
- calculatoarele pe care vrei sa ai ip nemasqueradat le pui pe un alt switch pe care se afla si ruterul
- faci un bridge intre cele doua interfete ale linuxului
- ridici IP alias-uri pe interfata linuxului si masqueradezi diferentiat functie de IP-ul privat care vrea sa iasa afara
- folosesti jumatatea superioara a clasei tale (4 IP-uri) pe eth1 al linuxului (dar astfel nu vei avea disponibil decit doar un IP in reteaua ta interna) si te asiguri ca linuxul face proxy arp
Laurentiu Matei wrote:
Se dau urmatoarele:
- conexiune la internet prin router ADSL. Am de la ISP o clasa de IP-uri rutabile de ex: 100.20.10.10/255.255.255.248......router-ul are ip-ul .11.
- vreau sa conectez routerul direct intr-un linux (RH 7.2 - cu ip .12) cu iptables. Pe acest linux am 2 interfete (cum am spus una catre ruter eth0(ip.12). si eth1(ip .13) care merge in suici. Din clasa asta mai i-mi raman 2 ip-uri pe care vreau sa le folosesc. - linux-ul este configurat cu mascaradare pentru LAN-ul intern si sunt niste politici in firewall (pun mai jos continutul fisierului iptables)
- problema este un calculator care foloseste unul din cele 2 ip-uri rutabile ramase libere iese pe internet folosind ca gw linux-ul (eth1 ip .13) insa de pe internet daca dau ping catre el nu primesc nimic (host unreachable).
Ce gresesc in iptables? Tx.
si acum fisierul iptables"
# Generated by iptables-save v1.2.3 on Mon Mar 3 20:30:26 2003
*nat
:PREROUTING ACCEPT [6804:735713]
:POSTROUTING ACCEPT [263:17859]
:OUTPUT ACCEPT [191:13801]
-A POSTROUTING -o eth0 -j SNAT --to-source 100.20.10.11
COMMIT
# Completed on Mon Mar 3 20:30:26 2003
# Generated by iptables-save v1.2.3 on Mon Mar 3 20:30:26 2003
*mangle
:PREROUTING ACCEPT [60419:19575281]
:OUTPUT ACCEPT [2645:283624]
COMMIT
# Completed on Mon Mar 3 20:30:26 2003
# Generated by iptables-save v1.2.3 on Mon Mar 3 20:30:26 2003
*filter
:INPUT DROP [245:43346]
:FORWARD DROP [30:1787]
:OUTPUT ACCEPT [2325:259108]
:state_chk - [0:0]
-A INPUT -j state_chk
-A FORWARD -j state_chk
-A state_chk -m state --state RELATED,ESTABLISHED -j ACCEPT
-A state_chk -i ! eth0 -m state --state NEW -j ACCEPT
-A state_chk -d 100.20.10.10/255.255.255.248 -p tcp -m tcp --dport 21 -j ACCEPT
-A state_chk -d 100.20.10.10/255.255.255.248 -p icmp -j ACCEPT
-A state_chk -d 100.20.10.10/255.255.255.248 -p tcp -m tcp --dport 110 -j ACCEPT
-A state_chk -d 100.20.10.10/255.255.255.248 -p tcp -m tcp --dport 25 -j ACCEPT
-A state_chk -d 100.20.10.10/255.255.255.248 -p tcp -m tcp --dport 22 -j ACCEPT
-A state_chk -j DROP
COMMIT
# Completed on Mon Mar 3 20:30:26 2003
--
Pentru dezabonare, trimiteti mail la [EMAIL PROTECTED] cu subiectul 'unsubscribe rlug'.
REGULI, arhive si alte informatii: http://www.lug.ro/mlist/
--
Pentru dezabonare, trimiteti mail la [EMAIL PROTECTED] cu subiectul 'unsubscribe rlug'.
REGULI, arhive si alte informatii: http://www.lug.ro/mlist/
