Mihai Dumitrescu wrote: >salut, > >pe un fedora core one cu doua placi de retea vreau sa >fac un nat. internetul imi vine pe eth0 de la un modem >de cablu cu urm config: >ip: a.b.c.d >netmask: 255.255.240.0 >gw: a.b.e.f >dns: 194.x.x.x > >placa mea de legatura cu reteaua interna este eth1, si >are urm ip: 100.100.0.1 cu netmask: 255.255.255.0 > > nu e o idee foarte foarte fercita alegerea acestei clase. exista niste reguli care recomanda ca pt retele private sa se foloseasca anumite clase de adrese. 100.100.0.0 nu se afla intre ele, dupa cite stiu eu.
>(conectata direct la switchul cu restul calc.)... >toate bune si frumoase ... dupa ce am mai cautat pe >internet am facut urm fisier care se ruleaza in >rc.local: >echo 1 > /proc/sys/net/ipv4/ip_forward >iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to >a.b.c.d > >problemele sunt urmatoarele: >0. nu pot accesa internetul de pe statiile din retea. >( de pe router pot accesa reteaua) > > > asigura-te ca ai dat drumul si in FORWARD la pachete: iptables -A FORWARD -s 100.100.0.0/24 -i eth1 -j ACCEPT >1. nu pot face ping de pe "router" pe nici o statie >din retea, unde ip-urile (alocate static) din retea >sunt: 100.100.0.0/255.255.255.0 si nici de pe statiile >din retea nu pot face ping pe 100.100.0.1 ... why? >(legatura intre router si switch e ok) > > incearca intii si un arping 100.100.0.y (de pe ruter), respectiv arping 100.100.0.1 daca ai facut un default install de fedora, probabil ai activat firewall-ul implicit. modifica-l astfel incit sa se potriveasca necesitatilor tale. cel implicit nu e adecvat pt rutere. >2. ca si gateway la celelalte calculatoare din retea >setez bine 100.100.0.1? > > da, trebuie sa treci ip-ul ruterului asignat interfetei dinspre reteaua locala >3. la dns pt celelalte calc. din retea setez tot >194.x.x.x (dns-ul de la provider). > > e o varianta. sau instalezi pe ruter un caching-dns. astfel vei reduce in oarecare masura traficul dintre ruter si provider. >4. as vrea daca se poate sa fac forward la porturile >25, 110 si 80 cum urmeaza: > >25, 110 pe 100.100.0.25 >80 pe 100.100.0.80 > >cum se face? > > iptables -t nat -A PREROUTING -i $eth0 -p tcp --dport 25 -j DNAT --to-destination 100.100.0.25 iptables -t nat -A PREROUTING -i $eth0 -p tcp --dport 110 -j DNAT --to-destination 100.100.0.25 iptables -t nat -A PREROUTING -i $eth0 -p tcp --dport 80 -j DNAT --to-destination 100.100.0.80 ps: pune mina si citeste network administrator's guide si documentatia de la iptables (aka netfilter). altfel o sa cam ai probleme. ps2: iti sugerez sa te uiti la firewall builder (http://www.fwbuilder.org/ respectiv http://www.fwbuilder.org/archives/cat_downloads.html) -- If at first you don't succeed, destroy all evidence that you tried. --- Detalii despre listele noastre de mail: http://www.lug.ro/
