Re: problema regole iptables firewall di una lan
On Fri, Jan 2, 2009 at 20:25, itom <itom_bo@yahoo.it> wrote:
> Dario grazie alle tue dritte sembra funzionare, ma "zoppica ancora";
> mi spiego: la tabella di routing è così:
> # ip route
> 145.10.168.0/24 dev eth0 proto kernel scope link src 145.10.168.1
> 145.10.168.0/24 dev eth1 proto kernel scope link src
> 145.10.168.100
> 192.168.106.0/24 dev eth2 proto kernel scope link src
> 192.168.106.1
> default via 145.10.168.254 dev eth0
>
> per far si che funzioni anche attraverso il MASQ sulla 80(ovvero per
> la rete eth1) devo settare il routing in questo modo:
> # ip route del 145.10.168.0/24 dev eth0 proto kernel scope link src
> 145.10.168.1
> # ip route add 145.10.168.254/32 dev eth0 src 145.10.168.1
>
> con questi "ip route" mi restituisce:
> 145.10.168.254 dev eth0 scope link src 145.10.168.1
> 145.10.168.0/24 dev eth1 proto kernel scope link src
> 145.10.168.100
> 192.168.106.0/24 dev eth2 proto kernel scope link src
> 192.168.106.1
> default via 145.10.168.254 dev eth0
>
> Il problema e' che si navigo su internet come voluto (da eth1) ma non
> riesco a raggiungere piu' (neanche dal firewall stesso, ne ping ne ssh
> ne http) degli host allo stesso "livello";
> infatti sia il firewall che altri 2 server (145.10.168.2 e
> 145.10.168.3) sono connessi allo stesso gateway 145.10.168.254 e dopo
> questi due comandi non li raggiungo piu'.
>
> # netstat -rn
> Kernel IP routing table
> Destination Gateway Genmask Flags MSS Window
> irtt Iface
> 145.10.168.0 0.0.0.0 255.255.255.0 U 0
> 0 0 eth0
> 145.10.168.0 0.0.0.0 255.255.255.0 U 0
> 0 0 eth1
> 192.168.106.0 0.0.0.0 255.255.255.0 U 0
> 0 0 eth2
> 0.0.0.0 145.10.168.254 0.0.0.0 UG 0
> 0 0 eth0
È un bel casino... Non riesci a impostare su eth1 una rete diversa da
quella su eth0?? Perché con la stessa rete succedono questi casini,
dove il kernel non sa più dove mandare ciascun pacchetto. Onestamente
non saprei esattamente come risolvere la situazione non avendo mai
lavorato in situazioni simili, però posso provarci.
Per me potresti mettere come rounting di tutta la rete 145.10.168.0/24
eth1, e mettere su eth0 il routing solo degli host connessi lì. Per
esempio, aggiungi manualmente il router e i server (sono su eth0,
no?). Questo in maniera tale che lui per cercare un host in quella
rete vada sempre su eth1, salvo nei casi in cui sia un host presente
su eth0, e allora va lì perché l'hai impostato manualmente.
Spero di essere stato chiaro :-)
--
Dario Pilori
-Linux registered user #406515
-Debian GNU/Linux user
Reply to: