» Помогите настроить маршутизацию linux

Есть сервер под centos

в нем 2 сетевых интерфейса сетей 192.168.0.1 и 192.168.1.1 каким образом нужно сконфигурировать маршрутизацию что бы сети видели друг друга...

отредактируй /etc/sysctl.conf

Цитата:

net.ipv4.ip_forward = 1

потом sysctl -p
затем если включены iptables
iptables -t filter -A FORWARD -s 192.168.0.0/24 -d 192.168.1.0/24 -j ACCEPT
iptables -t filter -A FORWARD -s 192.168.1.0/24 -d 192.168.0.0/24 -j ACCEPT

Добавлено:
Сделал не получилось что то... клиенты 192.168.1.1 не видят сети из 192.168.0.1...

net.ipv4.ip_forward=1
kernel.msgmnb=65536
kernel.msgmax=65536
kernel.shmmax=4294967295
net.ipv4.conf.default.rp_filter=1
kernel.sysrq=0
net.ipv4.conf.default.accept_source_route=0
kernel.shmall=268435456
net.ipv4.tcp_syncookies=1
kernel.core_uses_pid=1

Настораживает тот факт что при рестарте сети выдает Disabling IPv4 packet forwarding: net.ipv4.ip_forward = 0

usertum
Цитата:

Настораживает тот факт что при рестарте сети выдает Disabling IPv4 packet forwarding: net.ipv4.ip_forward = 0

Потому, наверное, и не видят...

Цитата:

Настораживает тот факт что при рестарте сети выдает Disabling IPv4 packet forwarding: net.ipv4.ip_forward = 0

Все правильно.
Так должно и быть по крайней мере на centos е.


Shutting down interface eth0: [ OK ]
Shutting down interface eth1: [ OK ]
Shutting down loopback interface: [ OK ]
Disabling IPv4 packet forwarding: net.ipv4.ip_forward = 0
[ OK ]
Bringing up loopback interface: [ OK ]
Bringing up interface eth0: [ OK ]
Bringing up interface eth1: [ OK ]

Этот centos сервер идет связующим звеном 2х сетей, из нашей сети 192.168.1.1 не видно напрямую их шлюз (маршрутизатор) 192.168.0.1 но в сервере centos есть 2 сетевых карты одна смотрит в нашу сеть eth1 и в их сеть eth0, им видно нас через маршрутизатор, но из нашей сети нам их не видно, вот и хотелось бы запросы вида 192.168.0.Х посылать через centos в ту сеть...

Шлюз по умолчанию в Вашей сети какой? 192,168,1,1?

Да, 192.168.1.1

Конфиг Iptables a покажи

Table: filter
Chain INPUT (policy ACCEPT)
num target prot opt source destination

Chain FORWARD (policy ACCEPT)
num target prot opt source destination

Chain OUTPUT (policy ACCEPT)
num target prot opt source destination

Table: mangle
Chain PREROUTING (policy ACCEPT)
num target prot opt source destination

Chain INPUT (policy ACCEPT)
num target prot opt source destination

Chain FORWARD (policy ACCEPT)
num target prot opt source destination

Chain OUTPUT (policy ACCEPT)
num target prot opt source destination

Chain POSTROUTING (policy ACCEPT)
num target prot opt source destination

Table: nat
Chain PREROUTING (policy ACCEPT)
num target prot opt source destination
1 REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 redir ports 3128

Chain POSTROUTING (policy ACCEPT)
num target prot opt source destination

Chain OUTPUT (policy ACCEPT)
num target prot opt source destination


На сервере поднят прокси, сеть 192.168.0.0 седит через него, инет берется сервером с нашего шлюза 192.168.1.1

Я так понимаю нужно в сторону iptables смотреть... но просто тупой форвардинг не поможет, тк нужно что бы и инет работал.

Почему после конфига сразу все замолчали?

и где в «конфиге» правила

iptables -t filter -A FORWARD -s 192.168.0.0/24 -d 192.168.1.0/24 -j ACCEPT
iptables -t filter -A FORWARD -s 192.168.1.0/24 -d 192.168.0.0/24 -j ACCEPT

?

и кстати. это не конфиг, а вывод правил.

«но просто тупой форвардинг не поможет» — угу. еще и роутинг, имхо.

Я вписал это правила... шас еше раз выполнил.

Добавлено:
Как можно проверить что правила добавились в iptables ?

Цитата:

и где в «конфиге» правила

iptables -t filter -A FORWARD -s 192.168.0.0/24 -d 192.168.1.0/24 -j ACCEPT
iptables -t filter -A FORWARD -s 192.168.1.0/24 -d 192.168.0.0/24 -j ACCEPT

?

У автора разрешающая политика по-умолчанию для цепочки FORWARD. Так что смысла в этих правилах не вижу.

При tracert хоста из сети 192.168.1.0 в 192.168.0.0, цепочка останавливается на сервере centos... так получается что он не пересылает запрос в другую сеть...

usertum

Цитата:

При tracert хоста из сети 192.168.0.1 в 192.168.0.0, цепочка останавливается на сервере centos...

Шота нипанятна...


Цитата:

Да, 192.168.1.1

А в сети 192.168.0.0/24 тоже шлюз по умолчанию 192.168.0.1?

да.

usertum
Давайте всё будем делать с нуля. Закиньте сюда вывод следующих команд (только убедительно прошу делать это с помощью тега more):
1. ifconfig (или ip addr)
2. route -n (или ip route)
3. iptables -nvL
4. iptables -t nat -nvL
5. cat /proc/sys/net/ipv4/ip_forward

usertum
Попробуй выключить selinux
/etc/selinux/config

Цитата:

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=disabled
# SELINUXTYPE= can take one of these two values:
# targeted - Targeted processes are protected,
# mls - Multi Level Security protection.
SELINUXTYPE=targeted

Я его сразу выключил при установке centos.

спам.

usertum
Давай тогда так:
1. cat /proc/sys/net/ipv4/ip_forward должно быть 1
Если нет, тогда:
echo 1 /proc/sys/net/ipv4/ip_forward
2. /etc/init.d/iptables stop
Потом проверь. Если не работает, тогда покажи всё что просили тут:
http://forum.ru-board.com/topic.cgi?forum=8&topic=38042#19

Вот что и просили.

[more]
eth0 Link encap:Ethernet HWaddr 00:0C:29:BE:EA:0E
inet addr:192.168.0.99 Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: fe80::20c:29ff:febe:ea0e/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:403106 errors:0 dropped:0 overruns:0 frame:0
TX packets:372289 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:34085748 (32.5 MiB) TX bytes:28555004 (27.2 MiB)
Interrupt:67 Base address:0x2000

eth1 Link encap:Ethernet HWaddr 00:0C:29:BE:EA:18
inet addr:192.168.1.250 Bcast:192.168.1.255 Mask:255.255.255.0
inet6 addr: fe80::20c:29ff:febe:ea18/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:10958 errors:0 dropped:0 overruns:0 frame:0
TX packets:7228 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:2523637 (2.4 MiB) TX bytes:1506578 (1.4 MiB)
Interrupt:67 Base address:0x2080

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:15751 errors:0 dropped:0 overruns:0 frame:0
TX packets:15751 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:10908029 (10.4 MiB) TX bytes:10908029 (10.4 MiB)

---

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth1
0.0.0.0 192.168.0.1 0.0.0.0 UG 0 0 0 eth0

---
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
672 49424 LOCALINPUT all -- !lo * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT udp -- !lo * 192.168.0.1 0.0.0.0/0 udp spts:1024:65535 dpt:53
0 0 ACCEPT tcp -- !lo * 192.168.0.1 0.0.0.0/0 tcp spts:1024:65535 dpt:53
0 0 ACCEPT udp -- !lo * 192.168.0.1 0.0.0.0/0 udp spt:53 dpts:1024:65535
0 0 ACCEPT tcp -- !lo * 192.168.0.1 0.0.0.0/0 tcp spt:53 dpts:1024:65535
0 0 ACCEPT udp -- !lo * 192.168.0.1 0.0.0.0/0 udp spt:53 dpt:53
0 0 INVALID tcp -- !lo * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- !lo * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- !lo * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:20
0 0 ACCEPT tcp -- !lo * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:21
0 0 ACCEPT tcp -- !lo * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
0 0 ACCEPT tcp -- !lo * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:25
0 0 ACCEPT tcp -- !lo * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:53
0 0 ACCEPT tcp -- !lo * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80
0 0 ACCEPT tcp -- !lo * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:110
0 0 ACCEPT tcp -- !lo * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:143
0 0 ACCEPT tcp -- !lo * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:443
0 0 ACCEPT tcp -- !lo * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:465
0 0 ACCEPT tcp -- !lo * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:587
0 0 ACCEPT tcp -- !lo * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:993
0 0 ACCEPT tcp -- !lo * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:995
0 0 ACCEPT udp -- !lo * 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:20
0 0 ACCEPT udp -- !lo * 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:21
0 0 ACCEPT udp -- !lo * 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:53
0 0 ACCEPT icmp -- !lo * 0.0.0.0/0 0.0.0.0/0 icmp type 8 limit: avg 1/sec burst 5
0 0 ACCEPT icmp -- !lo * 0.0.0.0/0 0.0.0.0/0 icmp type 0 limit: avg 1/sec burst 5
0 0 ACCEPT icmp -- !lo * 0.0.0.0/0 0.0.0.0/0 icmp type 11
0 0 ACCEPT icmp -- !lo * 0.0.0.0/0 0.0.0.0/0 icmp type 3
3 234 LOGDROPIN all -- !lo * 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy DROP 203 packets, 29537 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
464 31646 LOCALOUTPUT all -- * !lo 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- * lo 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT tcp -- * !lo 0.0.0.0/0 0.0.0.0/0 tcp dpt:53
0 0 ACCEPT udp -- * !lo 0.0.0.0/0 0.0.0.0/0 udp dpt:53
0 0 ACCEPT tcp -- * !lo 0.0.0.0/0 0.0.0.0/0 tcp spt:53
0 0 ACCEPT udp -- * !lo 0.0.0.0/0 0.0.0.0/0 udp spt:53
0 0 INVALID tcp -- * !lo 0.0.0.0/0 0.0.0.0/0
2 120 ACCEPT all -- * !lo 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT tcp -- * !lo 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:20
0 0 ACCEPT tcp -- * !lo 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:21
0 0 ACCEPT tcp -- * !lo 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
0 0 ACCEPT tcp -- * !lo 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:25
0 0 ACCEPT tcp -- * !lo 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:53
0 0 ACCEPT tcp -- * !lo 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80
0 0 ACCEPT tcp -- * !lo 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:110
0 0 ACCEPT tcp -- * !lo 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:113
0 0 ACCEPT tcp -- * !lo 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:443
0 0 ACCEPT udp -- * !lo 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:20
0 0 ACCEPT udp -- * !lo 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:21
0 0 ACCEPT udp -- * !lo 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:53
0 0 ACCEPT udp -- * !lo 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:113
0 0 ACCEPT udp -- * !lo 0.0.0.0/0 0.0.0.0/0 state NEW udp dpt:123
0 0 ACCEPT icmp -- * !lo 0.0.0.0/0 0.0.0.0/0 icmp type 0
0 0 ACCEPT icmp -- * !lo 0.0.0.0/0 0.0.0.0/0 icmp type 8
0 0 ACCEPT icmp -- * !lo 0.0.0.0/0 0.0.0.0/0 icmp type 11
0 0 ACCEPT icmp -- * !lo 0.0.0.0/0 0.0.0.0/0 icmp type 3
0 0 LOGDROPOUT all -- * !lo 0.0.0.0/0 0.0.0.0/0

Chain INVALID (2 references)
pkts bytes target prot opt in out source destination
0 0 INVDROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
0 0 INVDROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x00
0 0 INVDROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x3F
0 0 INVDROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x03/0x03
0 0 INVDROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x06
0 0 INVDROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x05/0x05
0 0 INVDROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x11/0x01
0 0 INVDROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x18/0x08
0 0 INVDROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x30/0x20
0 0 INVDROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:!0x17/0x02 state NEW

Chain INVDROP (10 references)
pkts bytes target prot opt in out source destination
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain LOCALINPUT (1 references)
pkts bytes target prot opt in out source destination
163 17894 ACCEPT all -- !lo * 192.168.1.0/24 0.0.0.0/0
506 31296 ACCEPT all -- !lo * 192.168.0.0/24 0.0.0.0/0

Chain LOCALOUTPUT (1 references)
pkts bytes target prot opt in out source destination
8 798 ACCEPT all -- * !lo 0.0.0.0/0 192.168.1.0/24
456 30848 ACCEPT all -- * !lo 0.0.0.0/0 192.168.0.0/24

Chain LOGDROPIN (1 references)
pkts bytes target prot opt in out source destination
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:67
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:67
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:68
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:68
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:111
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:111
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:113
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:113
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpts:135:139
3 234 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpts:135:139
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:445
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:445
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:513
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:513
0 0 DROP tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:520
0 0 DROP udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:520
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 30/min burst 5 LOG flags 0 level 4 prefix `Firewall: *TCP_IN Blocked* '
0 0 LOG udp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 30/min burst 5 LOG flags 0 level 4 prefix `Firewall: *UDP_IN Blocked* '
0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 30/min burst 5 LOG flags 0 level 4 prefix `Firewall: *ICMP_IN Blocked* '
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

Chain LOGDROPOUT (1 references)
pkts bytes target prot opt in out source destination
0 0 LOG tcp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 30/min burst 5 LOG flags 0 level 4 prefix `Firewall: *TCP_OUT Blocked* '
0 0 LOG udp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 30/min burst 5 LOG flags 0 level 4 prefix `Firewall: *UDP_OUT Blocked* '
0 0 LOG icmp -- * * 0.0.0.0/0 0.0.0.0/0 limit: avg 30/min burst 5 LOG flags 0 level 4 prefix `Firewall: *ICMP_OUT Blocked* '
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0

---

Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

---
cat /proc/sys/net/ipv4/ip_forward
1

[/more]

Меня напрягает то, что в первом вашем сообщении у вас политики для таблицы filter были ACCEPT, а теперь стали DROP. Чему верить?
Если верить второму, то в этой самой таблице в цепочки FORWARD правил нет, поэтому все пакеты "рубятся" согласно политике:

Цитата:

Chain FORWARD (policy DROP 203 packets, 29537 bytes)
pkts bytes target prot opt in out source destination

Как вам советовали раньше, просто тупо введите нижеследующие команды (ясен пень из-под рута):

Цитата:

iptables -t filter -A FORWARD -s 192.168.0.0/24 -d 192.168.1.0/24 -j ACCEPT
iptables -t filter -A FORWARD -s 192.168.1.0/24 -d 192.168.0.0/24 -j ACCEPT

Ну а потом проверьте бег пакетов.

Это из за тестов, скорее всего... прописал. Все равно не работает...

Добавлено:
И iptables выключал вообще как советовали выше, все равно не работает...

Добавлено:
Изменил настройки iptables шас

iptables -nvL
Chain INPUT (policy ACCEPT 107 packets, 7758 bytes)
pkts bytes target prot opt in out source destination

Chain FORWARD (policy ACCEPT 79 packets, 13400 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 139 packets, 35049 bytes)
pkts bytes target prot opt in out source destination

iptables -t nat -nvL

Chain PREROUTING (policy ACCEPT 173 packets, 11955 bytes)
pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 76 packets, 6014 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 1 packets, 146 bytes)
pkts bytes target prot opt in out source destination

Цитата:

прописал. Все равно не работает

А проверили что прописалось?

Я везде accept поставил Выше новые настройки...

usertum
Вы уже со своей проблемой мозг вынесли
Всё-таки я бы рекомендовал попробовать внести указанные правила.
Ещё дайте сюда, пожалуйста, вывод команды iptables -t mangle -nvL.
Ну и вообще левак. У вас на этом центосе что-то крутится?

Цитата:

в нем 2 сетевых интерфейса сетей 192.168.0.1 и 192.168.1.1 каким образом нужно сконфигурировать маршрутизацию что бы сети видели друг друга...

http://www.nestor.minsk.by/sr/2003/06/30615.html