Маршрутизация трафика между сетевыми сетевыми интерфейсами

@cthulhu · Регистрация: 07.08.2012

Author24 — интернет-сервис помощи студентам

Весь мозг себе сломал, возникла следующая проблемма:
Есть Шлюз с ОС Debian.
На нем поднято три сетевых интерфейса физически
eth0 192.168.1.2/255.255.0.0 - смотри в локалку
eth1 176.32.180.200/255.255.255.252 - смотрит в интернет
eth2 172.16.1.1/255.255.255.0 - смотрит еще в одну локалку

Таблица маршрутизации следующая

Code
1
2
3
4
5
6
176.32.180.198  *               255.255.255.252 U     0      0        0 eth1
192.168.2.0     *               255.255.255.0   U     0      0        0 eth0
172.16.1.0      *               255.255.255.0   U     0      0        0 eth2
172.16.0.0      172.16.1.1      255.255.0.0     UG    0      0        0 eth2
192.168.0.0     *               255.255.0.0     U     0      0        0 eth0
default         176.32.180.199  0.0.0.0         UG    0      0        0 eth1

В 172.16.1.0 сети есть шлюз свой 172.16.1.1 который разруливает кучу сетей от 172.16.1.0 до 172.16.255.0 каждая сеть с маской 255,255,255,0

С шлюза 172 подсеть я вижу, а вот с 192 подсети нефига не вижу адресов расположеных в сетях 172 и тогдалее....
Внимание вопрос! Где косяк, уже полдня пытаюсь понять что я не так сделал.....
ip_forward включен
в файрволе нет запрещающих правил...

@makvador · 07.08.2012, 20:05

А участники сетей 172.16.0.0/16 которые находятся за 172.16.1.1 знают о существовании вашей сети 192.168.0.0/16, тоесть у них есть обратные маршруты - 192.168.0.0/16 via 172.16.1.1?
Если этого и не должно быть в архитектуре вашей сети, то вам нужно делать NAT на исходящих интерфейсах:

iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE

@cthulhu · 07.08.2012, 20:08 **[ТС]**

Да, маршрутизация в 172 настроена и работает, тоесть все подсети в ней друг друга нормально видят. Именно с 198 не видно. Маскарадинг пробовал - ничего не меняется.

@makvador · 07.08.2012, 20:13

Сообщение от cthulhu

Да, маршрутизация в 172 настроена и работает, тоесть все подсети в ней друг друга нормально видят.

Я имел ввиду видно (и должно ли вообще быть видно?) ли из 172.16.0.0/16 вашу подсеть 192.168.0.0/16?

Покажите с вашего маршрутизатора:

iptables -vnL
iptables -t nat -vnL
iptables -t mangle -vnL

И покажите с любой машины из 192.168.0.0/16 трассировку до любого узла в 172.16.0.0/16.

@cthulhu · 08.08.2012, 16:12 **[ТС]**

С 192 подсети должно быть видно 172 подсеть но к сожалению не наблюдаю ее... с самого шлюза 172 и 192 подсеть вижу
c 172 подсети видно должно быть, сейчас попробую проверить видимость... просто физически сложно ибо это разнесено в другие города.
Трасировка

Tracing route to 172.16.6.1 over a maximum of 30 hops
1 <1 ms <1 ms <1 ms HIMERA [192.168.1.2]
собстно дальше обрывается

iptables -vnL

iptables -vnL
Chain INPUT (policy ACCEPT 51424 packets, 5966K bytes)
pkts bytes target prot opt in out source destination
2 88 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21
0 0 REJECT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:53 reject-with icmp-port-unreachable
0 0 REJECT udp -- eth1 * 0.0.0.0/0 0.0.0.0/0 udp dpt:53 reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT 17M packets, 9759M bytes)
pkts bytes target prot opt in out source destination
59542 2843K ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:21

Chain OUTPUT (policy ACCEPT 70095 packets, 8142K bytes)
pkts bytes target prot opt in out source destination

iptables -t nat -vnL

Chain PREROUTING (policy ACCEPT 73530 packets, 5133K bytes)
pkts bytes target prot opt in out source destination
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:3390 to:192.168.1.100:3389
0 0 DNAT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp dpt:4900 to:192.168.1.100:4899
8 404 tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
8 404 DNAT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 to:192.168.3.13:80
0 0 DNAT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:554 to:192.168.3.13:554
0 0 DNAT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:37395 to:192.168.1.100:37395

Chain POSTROUTING (policy ACCEPT 28426 packets, 1618K bytes)
pkts bytes target prot opt in out source destination
27481 1723K MASQUERADE all -- * eth1 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 10270 packets, 829K bytes)
pkts bytes target prot opt in out source destination

iptables -t mangle -vnL

Chain PREROUTING (policy ACCEPT 17M packets, 9881M bytes)
pkts bytes target prot opt in out source destination

Chain INPUT (policy ACCEPT 51519 packets, 5976K bytes)
pkts bytes target prot opt in out source destination

Chain FORWARD (policy ACCEPT 17M packets, 9875M bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 79105 packets, 8879K bytes)
pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 17M packets, 9884M bytes)
pkts bytes target prot opt in out source destination

@odip · 08.08.2012, 20:04

eth1 176.32.180.200/255.255.255.252 - смотрит в интернет

Что за бред ?
Если у тебя гейт 176.32.180.199
то этот гейт не попадает в эту сеть !!!

Твой собственный адрес я так понял 176.32.180.198

Твоя внешняя сеть должна быть 176.32.180.196/30
При этом использовать адрес .199 для гейта не очень хорошо - он же является адресом broadcast

Добавлено через 3 минуты

В 172.16.1.0 сети есть шлюз свой 172.16.1.1 который разруливает кучу сетей от 172.16.1.0 до 172.16.255.0 каждая сеть с маской 255,255,255,0

eth2 172.16.1.1/255.255.255.0 - смотрит еще в одну локалку

Мне кажется у тебя плохо с пониманием
Если в сети уже есть адрес 172.16.1.1
то присваивать себе на eth2 этот же адрес неразумно
Во всяком случае если они окажутся в одной подсети, то будет конфликт адресов

Добавлено через 2 минуты

Где косяк, уже полдня пытаюсь понять что я не так сделал.

Выложи вывод ifconfig

И исправь косяки которые я тебе раньше указал

Ты не можешь использовать адрес 172.16.1.1 для выхода в сеть 172.16.*.*

@cthulhu · 08.08.2012, 20:07 **[ТС]**

Сообщение от odip

Что за бред ?
Если у тебя гейт 176.32.180.199
то этот гейт не попадает в эту сеть !!!

а причем тут этот гейт? да он по умолчанию, но для конкретной сети прописано конкретное направление интерфейс отличный от интернетовского... естестно он не попадает, я больше скажу он физически на другом интерфесе.

Сообщение от odip

Мне кажется у тебя плохо с пониманием
Если в сети уже есть адрес 172.16.1.1
то присваивать себе на eth2 этот же адрес неразумно

не с пониманием а с внимательностью... естестно на интерфесе 172.16.1.2

@odip · 08.08.2012, 20:29

я больше скажу он физически на другом интерфесе

Может ты выложишь тогда вывод "ifconfig" ?

а причем тут этот гейт?

Потому что путаешься в показаниях

естестно на интерфесе 172.16.1.2

Отлично
Теперь идешь на 172.16.1.1
Делаешь там
1) ifconfig
2) netstat -rn
3) iptables -Lvn
iptables -t nat -Lvn

После чего мы будем делать выводы что не так

Добавлено через 3 минуты
И выложи "ifconfig" со своего компа тоже

Еще мне непонятно наличие двух маршрутов
192.168.2.0
192.168.0.0
В твоей таблице маршрутизации

Видимо тут

eth0 192.168.1.2/255.255.0.0 - смотри в локалку

ты тоже напутал с адресами ...

Добавлено через 4 минуты

27481 1723K MASQUERADE all -- * eth1 0.0.0.0/0 0.0.0.0/0

У тебя же адрес на eth1 статический ?
В таком случае рекомендуется SNAT использовать, а не MASQUERADE

Добавлено через 14 секунд

27481 1723K MASQUERADE all -- * eth1 0.0.0.0/0 0.0.0.0/0

У тебя же адрес на eth1 статический ?
В таком случае рекомендуется SNAT использовать, а не MASQUERADE

@makvador · 08.08.2012, 20:35

Добавьте NAT на eth2:

iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE

И проверьте ещё раз.

@cthulhu · 09.08.2012, 15:54 **[ТС]**

Сообщение от makvador

iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE

ПРи таком раскладе стало видно 176 подсеть с 192ой, вопрос в главном, как сделать что бы с 176 было видно 192ую?

@odip · 09.08.2012, 18:28

Теперь идешь на 172.16.1.1
Делаешь там
1) ifconfig
2) netstat -rn
3) iptables -Lvn
iptables -t nat -Lvn

Мне еще раз повторить ?

@cthulhu · 09.08.2012, 19:39 **[ТС]**

Сообщение от odip

Мне еще раз повторить ?

Во первых я понял что надо было включить нат для всех интерфейсов..
НА 172,16,1,1 попасть даже если захочу не смогу ибо это уже провайдерское оборудование которое обеспечивает канал связи с точками и является для меня недоступным.
Спасибо за наводки...
Эхх.. теперь бы граммотный мануал по iptables )

@makvador · 09.08.2012, 20:54

У вас есть договорённость с вашим провайдером о прямой маршрутизации между вашим подсетями?
Если этот вопрос не решён на организационном уровне, соответственно нет возможности его реализовать на техническом.

@odip · 10.08.2012, 10:30

Во первых я понял что надо было включить нат для всех интерфейсов..

Ничего ты не понял !

ибо это уже провайдерское оборудование которое обеспечивает канал связи с точками и является для меня недоступным

Если провайдер не сделает тебе маршрут со своей стороны до 192.168.*.*
то ничего у тебя не получится !
А тот NAT на внутреннем интерфейсе eth2 - это костыль, который на самом деле все запросы от твоей локалки в 172.25.*.* транслирует так что у них SRC IP = 172.25.1.2

@cthulhu · 10.08.2012, 14:10 **[ТС]**

Сообщение от makvador

У вас есть договорённость с вашим провайдером о прямой маршрутизации между вашим подсетями?
Если этот вопрос не решён на организационном уровне, соответственно нет возможности его реализовать на техническом.

Да для той сети маршутизатором на 192ую подсеть прописан адресс 172,16,1,2.....

У меня вообще проблемма именно с тем что пакеты доходят до сервреа и если выключен нат то все работает, если выключен пакеты не идет на второй интерфейс, сети сами по себе отдельно раблотают и даже отправляют пакеты в сторону соотвествующего адреса для каждой из них

@makvador · 10.08.2012, 14:13

Сообщение от cthulhu

Да для той сети маршутизатором на 192ую подсеть прописан адресс 172,16,1,2.....

Почему именно 172.16.1.2? У вас ведь на eth2 назначен адрес 172.16.1.1.

Сообщение от cthulhu

eth2 172.16.1.1/255.255.255.0 - смотрит еще в одну локалку

@cthulhu · 10.08.2012, 15:04 **[ТС]**

Сообщение от makvador

Почему именно 172.16.1.2? У вас ведь на eth2 назначен адрес 172.16.1.1.

Я там где то писал что ошибся. на интерфейсе 172.16.1.2 а вот шлюзам в 172 подсеть является 172.16.1.1.... могу просто хему подключения полную нарисовать. тут топология немного странная получается

@makvador · 10.08.2012, 23:02

Вы можете показать трассировку из подсети 172.16.0.0/16 до вашей подсети 192.168.0.0/16 (только убедитесь что вы убрали NAT на интерфейсе eth2)?

@odip · 11.08.2012, 15:34

Да для той сети маршутизатором на 192ую подсеть прописан адресс 172,16,1,2

Если прописан - должно работать сразу
Только NAT на eth2 надо отключить

@cthulhu · 11.08.2012, 16:25 **[ТС]**

так с 192ой пакеты на 172 то же не летят, я пингую с 192 шлюз 172 и пакеты доходят до моего сервера и на этом все заканчивается

Новые блоги и статьи Все статьи Все блоги /
Реализация Domain-Driven Design с Java Javaican 20.05.2025 DDD — это настоящий спасательный круг для проектов со сложной бизнес-логикой. Подход, предложенный Эриком Эвансом, позволяет создавать элегантные решения, которые точно отражают реальную предметную. . .	Возможности и нововведения C# 14 stackOverflow 20.05.2025 Выход версии C# 14, который ожидается вместе с . NET 10, приносит ряд интересных нововведений, действительно упрощающих жизнь разработчиков. Вы уже хотите опробовать эти новшества? Не проблема! Просто. . .	Собеседование по Node.js - вопросы и ответы Reangularity 20.05.2025 Каждому разработчику рано или поздно приходится сталкиватся с техническими собеседованиями - этим стрессовым испытанием, где решается судьба карьерного роста и зарплатных ожиданий. В этой статье я. . .	Cython и C (СИ) расширения Python для максимальной производительности py-thonny 20.05.2025 Python невероятно дружелюбен к начинающим и одновременно мощный для профи. Но стоит лишь заикнуться о высокопроизводительных вычислениях — и энтузиазм быстро улетучивается. Да, Питон медлительнее. . .	Безопасное программирование в Java и предотвращение уязвимостей (SQL-инъекции, XSS и др.) Javaican 19.05.2025 Самые распространёные векторы атак на Java-приложения за последний год выглядят как классический "топ-3 хакерских фаворитов": SQL-инъекции (31%), межсайтовый скриптинг или XSS (28%) и CSRF-атаки. . .
Введение в Q# - язык квантовых вычислений от Microsoft EggHead 19.05.2025 Microsoft вошла в гонку технологических гигантов с собственным языком программирования Q#, специально созданным для разработки квантовых алгоритмов. Но прежде чем погружаться в синтаксические дебри. . .	Безопасность Kubernetes с Falco и обнаружение вторжений Mr. Docker 18.05.2025 Переход организаций к микросервисной архитектуре и контейнерным технологиям сопровождается лавинообразным ростом векторов атак — от тривиальных попыток взлома до многоступенчатых кибератак, способных. . .	Аугментация изображений с Python AI_Generated 18.05.2025 Собрать достаточно большой датасет для обучения нейронной сети — та ещё головная боль. Часами вручную размечать картинки, скармливать их ненасытным алгоритмам и молиться, чтобы модель не сдулась при. . .	Исключения в Java: советы, примеры кода и многое другое Javaican 18.05.2025 Исключения — это объекты, созданные когда программа сталкивается с непредвиденной ситуацией: файл не найден, сетевое соединение разорвано, деление на ноль. . . Список можно продолжать до бесконечности. . . .	Как сделать SSO (Single Sign-On) в C# приложении stackOverflow 18.05.2025 SSO — это механизм, позволяющий пользователю пройти аутентификацию один раз и получить доступ к нескольким приложениям без повторного ввода учетных данных. Вы наверняка сталкивались с ним, когда. . .

@cthulhu 0 / 0 / 0 Регистрация: 07.08.2012 Сообщений: 10
	07.08.2012, 20:08 [ТС]
	Да, маршрутизация в 172 настроена и работает, тоесть все подсети в ней друг друга нормально видят. Именно с 198 не видно. Маскарадинг пробовал - ничего не меняется. 0

@makvador 70 / 59 / 0 Регистрация: 07.07.2012 Сообщений: 195
	09.08.2012, 20:54
	У вас есть договорённость с вашим провайдером о прямой маршрутизации между вашим подсетями? Если этот вопрос не решён на организационном уровне, соответственно нет возможности его реализовать на техническом. 0

@makvador 70 / 59 / 0 Регистрация: 07.07.2012 Сообщений: 195
	10.08.2012, 23:02
	Вы можете показать трассировку из подсети 172.16.0.0/16 до вашей подсети 192.168.0.0/16 (только убедитесь что вы убрали NAT на интерфейсе eth2)? 0

@cthulhu 0 / 0 / 0 Регистрация: 07.08.2012 Сообщений: 10
	11.08.2012, 16:25 [ТС]
	так с 192ой пакеты на 172 то же не летят, я пингую с 192 шлюз 172 и пакеты доходят до моего сервера и на этом все заканчивается 0