Linux-Bulgaria.ORG

Здравейте,

В офиса имам 2 доставчика на Интернет. И двата ми дават реални IP адреси. Направил съм си port forward от външните IP адреси към няколко вътрешни ресурси, към които ми трябва достъп от Интернет (порт 9024 и порт 9025).

Сега имам следния проблем: Като дам за default gateway единия доставчик, имаме Интернет в офиса (по първия канал), но от Интернет работи само неговото IP (другото отговаря на ping, но не пренася портовете към вътрешните сървъри). Като дам за default gateway другия доставчик (втория канал), пак имаме Интернет в офиса (по втория канал), но от Интернет работи само второто IP.

Не мога да накарам услугите на порт 9024 и порт 9025 да са достъпни и от двата реални IP адреса едновременно.

Разследвах какво става с iptraf и tcpdump и установих, че на пакетите, които идват по втория канал (който не е default gateway) им се отговаря по първия канал. Много странно поведение. Вероятно не правя коректно port forwarding настройките.

Прилагам настройките, които ползвам:

------------------------------------------------------------------------------------------------------------

[root@border-router root]# ifconfig

eth0 Link encap:Ethernet HWaddr 00:30:84:75:1F:FD

inet addr:192.168.0.2 Bcast:192.168.0.255 Mask:255.255.255.0

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

RX packets:49070 errors:0 dropped:0 overruns:0 frame:0

TX packets:62062 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:100

RX bytes:12892792 (12.2 Mb) TX bytes:53829268 (51.3 Mb)

Interrupt:12 Base address:0xf000

eth1 Link encap:Ethernet HWaddr 00:30:84:75:1F:CD

inet addr:192.168.2.2 Bcast:192.168.2.255 Mask:255.255.255.0

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

RX packets:140103 errors:0 dropped:0 overruns:0 frame:0

TX packets:172704 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:100

RX bytes:17077690 (16.2 Mb) TX bytes:122130851 (116.4 Mb)

Interrupt:10 Base address:0x1000

eth2 Link encap:Ethernet HWaddr 00:08:A1:7F:1C:F4

inet addr:192.168.1.2 Bcast:192.168.1.255 Mask:255.255.255.0

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

RX packets:262 errors:0 dropped:0 overruns:0 frame:0

TX packets:179 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:100

RX bytes:25975 (25.3 Kb) TX bytes:10758 (10.5 Kb)

Interrupt:11 Base address:0x3000

eth3 Link encap:Ethernet HWaddr 00:30:84:75:18:63

inet addr:192.168.6.2 Bcast:192.168.6.255 Mask:255.255.255.0

UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1

RX packets:237430 errors:0 dropped:0 overruns:0 frame:0

TX packets:184918 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:100

RX bytes:181251546 (172.8 Mb) TX bytes:29625412 (28.2 Mb)

Interrupt:12 Base address:0x5000

lo Link encap:Local Loopback

inet addr:127.0.0.1 Mask:255.0.0.0

UP LOOPBACK RUNNING MTU:16436 Metric:1

RX packets:581 errors:0 dropped:0 overruns:0 frame:0

TX packets:581 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:0

RX bytes:71486 (69.8 Kb) TX bytes:71486 (69.8 Kb)

tun0 Link encap:Point-to-Point Protocol

inet addr:192.168.3.1 P-t-P:192.168.3.2 Mask:255.255.255.255

UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1

RX packets:220 errors:0 dropped:0 overruns:0 frame:0

TX packets:174 errors:0 dropped:0 overruns:0 carrier:0

collisions:0 txqueuelen:100

RX bytes:19580 (19.1 Kb) TX bytes:31911 (31.1 Kb)

------------------------------------------------------------------------------------------------------------

[root@border-router root]# route

Kernel IP routing table

Destination Gateway Genmask Flags Metric Ref Use Iface

192.168.3.2 * 255.255.255.255 UH 0 0 0 tun0

192.168.6.0 * 255.255.255.0 U 0 0 0 eth3

192.168.3.0 192.168.3.2 255.255.255.0 UG 0 0 0 tun0

192.168.2.0 * 255.255.255.0 U 0 0 0 eth1

192.168.1.0 * 255.255.255.0 U 0 0 0 eth2

192.168.0.0 * 255.255.255.0 U 0 0 0 eth0

127.0.0.0 * 255.0.0.0 U 0 0 0 lo

default 192.168.6.1 0.0.0.0 UG 0 0 0 eth3

------------------------------------------------------------------------------------------------------------

[root@border-router root]# cat /etc/sysconfig/iptables

# Generated by iptables-save v1.2.7a on Tue Feb 3 18:59:36 2004

*nat

:PREROUTING ACCEPT [3826028:450721308]

:POSTROUTING ACCEPT [489166:30731077]

:OUTPUT ACCEPT [501461:32049378]

# DEV port forward

-A PREROUTING -i eth2 -p tcp -m tcp --dport 9024 -j DNAT --to 192.168.0.24:443

-A PREROUTING -i eth3 -p tcp -m tcp --dport 9024 -j DNAT --to 192.168.0.24:443

# PROJECT port forward

-A PREROUTING -i eth2 -p tcp -m tcp --dport 9025 -j DNAT --to 192.168.0.25:443

-A PREROUTING -i eth3 -p tcp -m tcp --dport 9025 -j DNAT --to 192.168.0.25:443

-A POSTROUTING -j MASQUERADE -s 192.168.0.0/24

-A POSTROUTING -j MASQUERADE -s 192.168.2.0/24

-A POSTROUTING -j MASQUERADE -s 192.168.3.0/24

-A POSTROUTING -j MASQUERADE -s 192.168.6.0/24

COMMIT

# Completed on Tue Feb 3 18:59:36 2004

# Generated by iptables-save v1.2.7a on Tue Feb 3 18:59:36 2004

*mangle

:PREROUTING ACCEPT [36497804:22370690460]

:INPUT ACCEPT [10012719:4687680109]

:FORWARD ACCEPT [26410023:17675681338]

:OUTPUT ACCEPT [10461124:5342939882]

:POSTROUTING ACCEPT [36825304:23005473811]

COMMIT

# Completed on Tue Feb 3 18:59:36 2004

# Generated by iptables-save v1.2.7a on Tue Feb 3 18:59:36 2004

*filter

:INPUT ACCEPT [10647040:4805420467]

:FORWARD ACCEPT [26911698:17913658231]

:OUTPUT ACCEPT [10530480:5353253885]

# DEV port forward

-A FORWARD -p tcp -i eth0 -d 192.168.0.24 --dport 443 -j ACCEPT

# PROJECT port forward

-A FORWARD -p tcp -i eth0 -d 192.168.0.25 --dport 443 -j ACCEPT

# Filter NET2 to NET0 traffic

-A FORWARD -s 192.168.2.0/24 -d 192.168.0.24/32 -p tcp --dport 443 -j ACCEPT

-A FORWARD -s 192.168.2.0/24 -d 192.168.0.0/24 -j DROP

COMMIT

------------------------------------------------------------------------------------------------------------

Някой има ли идея къде бъркам?

Svetlin Nakov

Director Training and Consulting Activities

National Academy for Software Development

http://academy.devbg.org

[Lug-bg] Problem s iptables