|
|
|
|
|
|
|
3 bramy jeden squid
Lewy - 07-10-2006 10:51
Witam!
Planuję w sieci LAN zrobić 3 bramy do internetu. Cześć userów ma kożysta z jedej bramy, częśc z drugiej itd. IP bram mają wyglądać tak: 1 brama 192.168.1.1, druga 192.168.1.2, trzecia 192.168.1.3. Do tego wszystkiego chcę zrobić wspólny squid na bramie 2. W związku z moimi planami nusuwa mi się parepytań:
1) Czy moga być w sieci 3 bramy do internetu w tej samej klasie adresowej i w tej samej podsieci?
2) Czy Masquerade ma wyglądac tak samo na każdej bramie? Ponieżej podaje jak ja to sobie wymysliłem
brama 1
#!/bin/sh
# uruchomienie przekazywania pakietow IP.
echo "1" > /proc/sys/net/ipv4/ip_forward
# wyczy??my tablice iptables odpowi.edzialne za nat i za filtrowanie pakietów:
iptables -F -t nat
iptables -X -t nat
iptables -F -t filter
iptables -X -t filter
# Domy?lnie odrzucamy i nie zezwalany na forwardowanie pakietów
iptables -t filter -P FORWARD DROP
# Zezwalamy na by serwer przepuszcza? pakiety które pochodz? z naszej sieci
# lokalnej lub s? dla niej przeznaczone.
iptables -t filter -A FORWARD -s 192.168.1.0/255.255.255.0 -d 0/0 -j ACCEPT
iptables -t filter -A FORWARD -s 0/0 -d 192.168.1.0/255.255.255.0 -j ACCEPT
# Teraz nakazujemy by wszystkie pakiety pochodz?ce z lanu by?y maskowane
iptables -t nat -A POSTROUTING -s 192.168.1.4 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.1.5 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.1.6 -d 0/0 -j MASQUERADE
brama 2
#!/bin/sh
# uruchomienie przekazywania pakietow IP.
echo "1" > /proc/sys/net/ipv4/ip_forward
# wyczy??my tablice iptables odpowi.edzialne za nat i za filtrowanie pakietów:
iptables -F -t nat
iptables -X -t nat
iptables -F -t filter
iptables -X -t filter
# Domy?lnie odrzucamy i nie zezwalany na forwardowanie pakietów
iptables -t filter -P FORWARD DROP
# Zezwalamy na by serwer przepuszcza? pakiety które pochodz? z naszej sieci
# lokalnej lub s? dla niej przeznaczone.
iptables -t filter -A FORWARD -s 192.168.1.0/255.255.255.0 -d 0/0 -j ACCEPT
iptables -t filter -A FORWARD -s 0/0 -d 192.168.1.0/255.255.255.0 -j ACCEPT
# Teraz nakazujemy by wszystkie pakiety pochodz?ce z lanu by?y maskowane
iptables -t nat -A POSTROUTING -s 192.168.1.7 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.1.8 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.1.9 -d 0/0 -j MASQUERADE
brama 3
#!/bin/sh
# uruchomienie przekazywania pakietow IP.
echo "1" > /proc/sys/net/ipv4/ip_forward
# wyczy??my tablice iptables odpowi.edzialne za nat i za filtrowanie pakietów:
iptables -F -t nat
iptables -X -t nat
iptables -F -t filter
iptables -X -t filter
# Domy?lnie odrzucamy i nie zezwalany na forwardowanie pakietów
iptables -t filter -P FORWARD DROP
# Zezwalamy na by serwer przepuszcza? pakiety które pochodz? z naszej sieci
# lokalnej lub s? dla niej przeznaczone.
iptables -t filter -A FORWARD -s 192.168.1.0/255.255.255.0 -d 0/0 -j ACCEPT
iptables -t filter -A FORWARD -s 0/0 -d 192.168.1.0/255.255.255.0 -j ACCEPT
# Teraz nakazujemy by wszystkie pakiety pochodz?ce z lanu by?y maskowane
iptables -t nat -A POSTROUTING -s 192.168.1.10 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.1.11 -d 0/0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.1.12 -d 0/0 -j MASQUERADE
3) Przekierowanie na port 8080 na bramie 2 która ma squida.
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080
Myśle, że to jest dobrze bo tak do tej pory działa. Jeżeli dojdą jeszcze dwie bramy to ta regułka zostanie dalej taka sama?
4) Przekierowanie na port 8080 squida bramy 2, w pierwszej i trzeciej bramie
iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 192.168.1.2:8080
Teraz ostatnie najważniejsze pytanie: Czy mój plan wypali? Jeżeli być coś nie grało, poprawcie moję błędy.
3ym - 24-10-2006 20:19
1) Czy moga być w sieci 3 bramy do internetu w tej samej klasie adresowej i w tej samej podsieci?
Oczywiście, że tak.
Na resztę nie odpowiem, bo używam shorewall'a... ;)
Witek Baryluk - 24-10-2006 22:17
Powinno nie byc najmniejszego problemu. Ja bym jednak uważał na rachunki za prąd :)
zanotowane.pldoc.pisz.plpdf.pisz.plminister.pev.pl
|
|
|
|
