RE:Настройка сети

Аватар пользователя mad_shef

>>Цитата:

>>mad_shef писал:
>>Есть тачка под ASPLinux 10 (устанавливался как сервер), Имеется три сетевухи :
>>eth0 10.4.1.2 255.255.255.0;
>>eth1 10.5.1.2 255.255.255.0;
>>eth2 10.6.1.2 255.255.255.0;

>>В каждой сетке есть компы которые пингуются с router_2 без проблем. Из сетки 10.6.1.0 комп 10.6.1.3 пингует все три сетевухи router_2, а дальше >>пинги не проходят. Значение ip_forward выставлял в 1 вручную.

>Это лучше зделать в файле конфигурации...
>Код:
>[root@homedesk conf]# grep forward /etc/sysctl.conf
># Controls IP packet forwarding
>net.ipv4.ip_forward = 1

>Попробуйте отредактировать /etc/sysctl.conf и выполнить `sysctl -p`
>Возможно, что после этого проблемы будут решены...

Попробовал,отредактировал,линух выдал:
# Controls IP packet forwarding
net.ipv4.ip_forward = 1
но все равно не работает...

>Как настроен firewall? FORWARD должен быть разрешен...
Сложный вопрос,до этого я еще не дошел...

>Как прописан шлюз по умолчанию на машинах в подсетях? Должен быть на IP адрес соответствующий сетевой карты route_2
Так оно и есть...

>>Цитата:

>>Прописывал в iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to 10.5.1.2 , но все равно не получается пинговать дальше router_2.

>>Вам не нужен маскарад... У Вас обычный FORWARD

>>Кстати, что на router_2 выдает

>>cat /proc/sys/net/ipv4/ip_forward
1
>>cat /proc/sys/net/ipv4/icmp_echo_ignore_all
0

>>Кстати, пересылку можна запретить индивидуально по интерфейсу...
>>По этой причине интересно что покажет:

>>cat /proc/sys/net/ipv4/conf/all/forwarding
1
>>cat /proc/sys/net/ipv4/conf/eth0/forwarding
1
>>cat /proc/sys/net/ipv4/conf/eth1/forwarding
1
>>cat /proc/sys/net/ipv4/conf/eth2/forwarding
1

>>ifconfig
Я дико извиняюсь,но стока текста ....

>>ip route show
10.6.1.0/24 dev eth2 proto kernel scope link src 10.6.1.2
10.4.1.0/24 dev eth0 proto kernel scope link src 10.4.1.2
10.5.1.0/24 dev eth1 proto kernel scope link src 10.5.1.2
169.254.0.0/16 dev eth2 scope link

>iptables -L -v -n
ip_tables:(C) 2000-2002 Netfilter core team
Chain INPUT (policy ACCEPT 0 pacets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain FORWARD (policy ACCEPT 0 pacets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 0 pacets, 0 bytes)
pkts bytes target prot opt in out source destination

>iptables -t nat -L -v -n
Chain PREROUTING (policy ACCEPT 0 pacets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 0 pacets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 0 pacets, 0 bytes)
pkts bytes target prot opt in out source destination

>iptables -t mangle -L -v -n
Chain PREROUTING (policy ACCEPT 0 pacets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain INPUT (policy ACCEPT 0 pacets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain FORWARD (policy ACCEPT 0 pacets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 0 pacets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 0 pacets, 0 bytes)
pkts bytes target prot opt in out source destination

>>Цитата:

>>А во всех книгах по линуксу пишут что настроить локальную сеть и заставить тачку под линухом работать шлюзом проще простого.

>>Как правило, да.
К сожалению из правил ,как правило , гораздо больше исключений чем правил...
>>PS: Вы зря не задали этот вопрос в открытом форуме. Если у Вас возник такой вопрос, то у других он также может возникать...
>>Рассказав это один раз Вам, я могу поленится повторять это еще кому-нибуть...
Задаю!

Аватар пользователя sergeil

Re: RE:Настройка сети

mad_shef писал(а):
10.6.1.0/24 dev eth2 proto kernel scope link src 10.6.1.2
10.4.1.0/24 dev eth0 proto kernel scope link src 10.4.1.2
10.5.1.0/24 dev eth1 proto kernel scope link src 10.5.1.2
169.254.0.0/16 dev eth2 scope link

Очень смущает суффикс src 10.x.1.2

Сеть 169.254.0.0/16 Вам не нужна... Отключите ее, добавив в
/etc/sysconfig/network
...
NOZEROCONF=yes
...

Потом проще всего перезагрузится...

И покажите конфигурационны файлы сетевых устройств, то есть, содержимое файлов /etc/sysconfig/network-scripts/ifcfg-eth*

Аватар пользователя mad_shef

Re: RE:Настройка сети

По ходу дела возник еще вопрос :как в файерволе разрешить ентот FORWARD?
Содержимое /etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0
ONBOOT=yes
IPADDR=10.4.1.2
NETMASK=255.255.255.0
NETWORK=10.4.1.0
BROADCAST=10.4.1.255

/etc/sysconfig/network-scripts/ifcfg-eth1
DEVICE=eth1
ONBOOT=yes
IPADDR=10.5.1.2
NETMASK=255.255.255.0
NETWORK=10.5.1.0
BROADCAST=10.5.1.255

/etc/sysconfig/network-scripts/ifcfg-eth2
DEVICE=eth2
ONBOOT=yes
IPADDR=10.6.1.2
NETMASK=255.255.255.0
NETWORK=10.6.1.0
BROADCAST=10.6.1.255

Сеть 169.254.0.0/16 отключил.

тачку перегрузил,все рано не работает

Аватар пользователя sergeil

Re: RE:Настройка сети

Цитата:
mad_shef пишет:
По ходу дела возник еще вопрос :как в файерволе разрешить ентот FORWARD?

Он разрешен, поскольку политика по умолчанию ACCEPT и нет правил, которые это запрещают...

Цитата:
Chain FORWARD (policy ACCEPT 0 pacets, 0 bytes)

Думаю дальше...

Аватар пользователя sergeil

Re: RE:Настройка сети

Цитата:
mad_shef пишет:
...
Сеть 169.254.0.0/16 отключил. тачку перегрузил,все рано не работает

1. Что показывает tracert (traceroute) с машины в подсети 10.6.1.0 на любую машину в другой подсети (но не рутер)?
2. Если машины в подсетях под WinXP(SP2), то настройки встроенного в WinXP firewall могут препятствовать доступу к этим машинам из других подсетей...

Аватар пользователя woodoo

Re: RE:Настройка сети

Маршрут "по умолчанию" на клиентах прописан?

Аватар пользователя sergeil

Re: RE:Настройка сети

Цитата:
woodoo пишет:
Маршрут "по умолчанию" на клиентах прописан?

Мне сказал, что прописан (смотри самый первый пост)...

Цитата:
Цитата:
Как прописан шлюз по умолчанию на машинах в подсетях?
Должен быть на IP адрес соответствующий сетевой карты route_2

Так оно и есть...

Я просто теряюсь в догадках в чем проблема...

Аватар пользователя mad_shef

Re: RE:Настройка сети

Цитата:
sergeil пишет:

Цитата:
mad_shef пишет:
...
Сеть 169.254.0.0/16 отключил. тачку перегрузил,все рано не работает

1. Что показывает tracert (traceroute) с машины в подсети 10.6.1.0 на любую машину в другой подсети (но не рутер)?
2. Если машины в подсетях под WinXP(SP2), то настройки встроенного в WinXP firewall могут препятствовать доступу к этим машинам из других подсетей...

1.tracert показывает сетевуху router_2 10.6.1.2 <10 мs ,
а дальше пишет : Превышен интервал времени для ожидания
2.Машины в подсетях разные(и WIN98 и W2000 и XP), но с router_2 они все пингуются.
Пинг не проходит сквозь router_2.

Когда я прописываю
iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to 10.5.1.2
начинает пинговаться сетка 10.5.1.0
А без этого ни как!
Насколько я правильно понял происходит подмена IP запрашивающего из сетки 10.6.1.0 на IP 10.5.1.2
В остальные сетки (10.4.1.0) я попадаю(пингом) так же
А как сделать чтобы была видна сетка 10.5.1.0 из сетки 10.6.1.0 из под винды?

Аватар пользователя sergeil

Re: RE:Настройка сети

mad_shef писал(а):
Когда я прописываю
iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to 10.5.1.2
начинает пинговаться сетка 10.5.1.0
А без этого ни как!

Очень странно... Клиетская машина не хочет отвечать на запросы, приходящие не из локальной сети.
Покажите вывод: route print

Аватар пользователя mad_shef

Re: RE:Настройка сети

Очень странно... Клиетская машина не хочет отвечать на запросы, приходящие не из локальной сети.
Покажите вывод: route print

route print выводить не хочет, пишет что нет такой команды(print)
А просто route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.6.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
10.4.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
10.5.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
0.0.0.0 10.5.1.1 0.0.0.0 UG 0 0 0 eth1

Может нужно IP сетки поменять? Ну ,что нибудь вроде eth0 192.168.0.0,eth1 192.168.1.0 и т.д?
Щас попробую,потом скажу...

Аватар пользователя sergeil

Re: RE:Настройка сети

Цитата:
mad_shef пишет:
route print выводить не хочет, пишет что нет такой команды(print)

IHMO, с рутером все хорошо. Если работает MASQUERADE(NAT), то пакеты пересылаются. Это значит, что FORWARD также работает...

Есть большие подозрение по поводу правильности настройки клиентов.... route print - это команда M$

C:\> route /?

Аватар пользователя sergeil

Re: RE:Настройка сети

mad_shef писал(а):
Может нужно IP сетки поменять? Ну ,что нибудь вроде eth0 192.168.0.0,eth1 192.168.1.0 и т.д? Щас попробую,потом скажу...

Не нужно...
Попробуйте с клиентской машины выполнить tracert (traceroute) на несуществующий адрес. Обязательно укажите подавление рагрешения IP адреса в имя... Для Linux это `traceroute -n `
Если клиент настроен правильно, то первый хоп будет адрес сетевой карты Вашего рутера.
Вот например...

// Клиентская машина.
[sergeil@anton ~]$ /sbin/ip route show
192.168.100.0/24 dev eth0 proto kernel scope link src 192.168.100.101
default via 192.168.100.100 dev eth0

[sergeil@anton ~]$ netstat -r -n
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
192.168.100.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
0.0.0.0 192.168.100.100 0.0.0.0 UG 0 0 0 eth0

// адреса 192.168.102.1 у меня нет...
[sergeil@anton ~]$ traceroute 192.168.102.1 -n
traceroute to 192.168.102.1 (192.168.102.1), 30 hops max, 38 byte packets
1 192.168.100.100 0.496 ms 0.104 ms 0.096 ms

Адрес сетевой карты рутера, к которой подключен клиент 192.168.100.100
То есть, пакет пошел на рутер (шлюз по умолчанию)

Аватар пользователя mad_shef

Re: RE:Настройка сети

Цитата:
sergeil пишет:

mad_shef писал(а):
Может нужно IP сетки поменять? Ну ,что нибудь вроде eth0 192.168.0.0,eth1 192.168.1.0 и т.д? Щас попробую,потом скажу...

Не нужно...
Попробуйте с клиентской машины выполнить tracert (traceroute) на несуществующий адрес. Обязательно укажите подавление рагрешения IP адреса в имя... Для Linux это `traceroute -n `
Если клиент настроен правильно, то первый хоп будет адрес сетевой карты Вашего рутера.
Вот например...

// Клиентская машина.
[sergeil@anton ~]$ /sbin/ip route show
192.168.100.0/24 dev eth0 proto kernel scope link src 192.168.100.101
default via 192.168.100.100 dev eth0

[sergeil@anton ~]$ netstat -r -n
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
192.168.100.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
0.0.0.0 192.168.100.100 0.0.0.0 UG 0 0 0 eth0

// адреса 192.168.102.1 у меня нет...
[sergeil@anton ~]$ traceroute 192.168.102.1 -n
traceroute to 192.168.102.1 (192.168.102.1), 30 hops max, 38 byte packets
1 192.168.100.100 0.496 ms 0.104 ms 0.096 ms

Адрес сетевой карты рутера, к которой подключен клиент 192.168.100.100
То есть, пакет пошел на рутер (шлюз по умолчанию)

Все так и работает...
При пинге несуществующего адреса выдается сообщение : Ответ от 10.6.1.2: заданный узел недоступен
А при пинге реального IP : Время ожидания запроса истекло
Вот такое блин, лето ...

Аватар пользователя sergeil

Re: RE:Настройка сети

mad_shef писал(а):
Все так и работает...
При пинге несуществующего адреса выдается сообщение : Ответ от 10.6.1.2: заданный узел недоступен
А при пинге реального IP : Время ожидания запроса истекло
Вот такое ', лето ...

1. Я говорил не пинговать узел, а запустить трассировку пути (tracert).

C:\\>tracert 10.2.1.1 -d
Трассировка маршрута к 10.2.1.1 с максимальным числом прыжков 30
  1    <1 мс    <1 мс    <1 мс  10.101.3.17
  2  10.101.3.17  сообщает: Заданный протокол недоступен.
Трассировка завершена.

2. Я просил предоставить `route print` на клиентской машине...

Аватар пользователя mad_shef

Re: RE:Настройка сети

Цитата:
sergeil пишет:

mad_shef писал(а):
Все так и работает...
При пинге несуществующего адреса выдается сообщение : Ответ от 10.6.1.2: заданный узел недоступен
А при пинге реального IP : Время ожидания запроса истекло
Вот такое ', лето ...

1. Я говорил не пинговать узел, а запустить трассировку пути (tracert).

C:\\>tracert 10.2.1.1 -d
Трассировка маршрута к 10.2.1.1 с максимальным числом прыжков 30
  1    <1 мс    <1 мс    <1 мс  10.101.3.17
  2  10.101.3.17  сообщает: Заданный протокол недоступен.
Трассировка завершена.

2. Я просил предоставить `route print` на клиентской машине...

1.C:\WINDOWS>tracert 10.4.1.1 -d
Трассировка маршрута к 10.4.1.1 с максимальным числом переходов 30:
1. <10 мс <10 мс <10 мс 10.6.1.2
2. * * * Превышен интервал ожидания для запроса
3. * и т.д.

2.C:\WINDOWS>route print
Активные маршруты
Сетевой адрес Маска Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 10.6.1.2 10.6.1.3 1
10.6.1.0 255.255.255.0 10.6.1.3 10.6.1.3 1
10.6.1.3 255.255.255.0 127.0.0.1 127.0.0.1 1
10.255.255.255 255.255.255.255 10.6.1.3 10.6.1.3 1
127.0.0.1 255.0.0.0 127.0.0.1 127.0.0.1 1
224.0.0.0 224.0.0.0 10.6.1.3 10.6.1.3 1
255.255.255.255 255.255.255.255 10.6.1.3 10.6.1.3 1

Аватар пользователя sergeil

Re: RE:Настройка сети

mad_shef писал(а):
1.C:\WINDOWS>tracert 10.4.1.1 -d
Трассировка маршрута к 10.4.1.1 с максимальным числом переходов 30:
1. <10 мс <10 мс <10 мс 10.6.1.2
2. * * * Превышен интервал ожидания для запроса
3. * и т.д.

А как трассируется доступный клиентский хост? Покажите вывод...

Аватар пользователя mad_shef

Re: RE:Настройка сети

Цитата:
sergeil пишет:

mad_shef писал(а):
1.C:\WINDOWS>tracert 10.4.1.1 -d
Трассировка маршрута к 10.4.1.1 с максимальным числом переходов 30:
1. <10 мс <10 мс <10 мс 10.6.1.2
2. * * * Превышен интервал ожидания для запроса
3. * и т.д.

А как трассируется доступный клиентский хост? Покажите вывод...

C:\WINDOWS>tracert 10.6.1.5 -d
Трассировка маршрута к 10.6.1.5 с максимальным числом переходов 30:
1. <10 мс <10 мс <10 мс 10.6.1.5
Трассировка завершена

А при включении iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 10.4.1.2
C:\WINDOWS>tracert 10.4.1.1 -d
Трассировка маршрута к 10.4.1.1 с максимальным числом переходов 30:
1. <10 мс <10 мс <10 мс 10.6.1.2
2. 1 мс <10 мс 1 мс 10.4.1.1
Трассировка завершена

Аватар пользователя woodoo

Re: RE:Настройка сети

Проверь роутинг на машине 10.4.1.1.

Аватар пользователя mad_shef

Re: RE:Настройка сети

Цитата:
woodoo пишет:
Проверь роутинг на машине 10.4.1.1.

А при чем тут машина 10.4.1.1?
Я не могу пропинговать 10.4.1.1 ЧЕРЕЗ 10.6.1.2 , который для меня(10.6.1.3) шлюз(10.6.1.2) до тех пор пока не задействую NAT. Или так и должно быть?В смысле с NATом пинговаться, а без него нет?

Аватар пользователя sergeil

Re: RE:Настройка сети

Цитата:
mad_shef пишет:

Цитата:
woodoo пишет:
Проверь роутинг на машине 10.4.1.1.

А при чем тут машина 10.4.1.1?
Я не могу пропинговать 10.4.1.1 ЧЕРЕЗ 10.6.1.2 , который для меня(10.6.1.3) шлюз(10.6.1.2) до тех пор пока не задействую NAT. Или так и должно быть?В смысле с NATом пинговаться, а без него нет?

Так не должно быть. Вам не нужен NAT. Ладно, давайте сделаем по-другому... Попробуем PROXY-ARP. Несколько экзотично, но ничего не поделаешь... Для этого рутер и клиенты должны быть доконфигуирированы...

1. Рутер:

/etc/sysctl.conf
=== добавить
net.ipv4.conf.default.proxy_arp = 1
net.ipv4.conf.all.proxy_arp = 1
net.ipv4.conf.eth0.proxy_arp = 1
net.ipv4.conf.eth1.proxy_arp = 1
net.ipv4.conf.eth2.proxy_arp = 1
===
И выполнить `sysctl -p`. На этом изменения на рутере заканчиваются....

2. Клиенты:
У каждого клиента шлюз по умолчанию должен соответствовать его сетевому адресу, а не адресу шлюза. То есть, для клиента с IP 10.6.1.3, шлюз по умолчанию 10.6.1.3. Для клиента с адресом 10.4.1.3 шлюз по умолчанию 10.4.1.3.

Настраиваем и пробуем...

Аватар пользователя woodoo

Re: RE:Настройка сети

Цитата:
mad_shef пишет:

Цитата:
woodoo пишет:
Проверь роутинг на машине 10.4.1.1.

А при чем тут машина 10.4.1.1?

Элементарно.
1. Успех команды ping - как в "прямом", так и "обратном" движении пакетов.
2. По конечному негативному результату невозможно однозначно определить какой именно компонент не работает - "туда" или "оттуда". А их 3 (три): источник пинга, цель пинга и шлюз.
3. По умолчанию на интерфейсе поднимается роутинг к своей подсети. Как на шлюзе, так и на клиентах.
4. При включении nat на шлюзе источник "прямых" icmp-пакетов меняется на 10.4.х.х. и идет на 10.4.1.1
5. Если icmp-пакеты приходят на 10.4.1.1 с источника в этой же подсети (через nat) - ответы от 10.4.1.1 уходят и (в дальнейшем - через обратное преобразование nat) - к фактическому источнику запросов, а если нет - то нет.
Это означает только одно - 10.4.1.1 НИЧЕГО НЕ ЗНАЕТ О ДРУГИХ ПОДСЕТЯХ (отличных от своей). Т.е. там не приписан "шлюз по умолчанию" как вариант. Рассуждать о статическим роутах не буду. Вариант с "возможным фаейрволлом" не беру, полагаясь на тебя. Шлюз, скорее всего, работает исправно.

Цитата:
Я не могу пропинговать

Ты и слушать/понимать не хочешь.

За "раздражение" предупреждать не буду. :DB:

Аватар пользователя mad_shef

Re: RE:Настройка сети

Цитата:
woodoo пишет:

Цитата:
mad_shef пишет:
Цитата:
woodoo пишет:
Проверь роутинг на машине 10.4.1.1.

А при чем тут машина 10.4.1.1?

Элементарно.
1. Успех команды ping - как в "прямом", так и "обратном" движении пакетов.
2. По конечному негативному результату невозможно однозначно определить какой именно компонент не работает - "туда" или "оттуда". А их 3 (три): источник пинга, цель пинга и шлюз.
3. По умолчанию на интерфейсе поднимается роутинг к своей подсети. Как на шлюзе, так и на клиентах.
4. При включении nat на шлюзе источник "прямых" icmp-пакетов меняется на 10.4.х.х. и идет на 10.4.1.1
5. Если icmp-пакеты приходят на 10.4.1.1 с источника в этой же подсети (через nat) - ответы от 10.4.1.1 уходят и (в дальнейшем - через обратное преобразование nat) - к фактическому источнику запросов, а если нет - то нет.
Это означает только одно - 10.4.1.1 НИЧЕГО НЕ ЗНАЕТ О ДРУГИХ ПОДСЕТЯХ (отличных от своей). Т.е. там не приписан "шлюз по умолчанию" как вариант. Рассуждать о статическим роутах не буду. Вариант с "возможным фаейрволлом" не беру, полагаясь на тебя. Шлюз, скорее всего, работает исправно.

Цитата:
Я не могу пропинговать

Ты и слушать/понимать не хочешь.

За "раздражение" предупреждать не буду. :DB:

УРАААА!!!!! ЗАРАБОТАЛАААА!!!!
Все так и было!
Раскажу по порядку (может кому поможет).
Были две готовые сетки 10.4.1.0 и 10.5.1.0 ,стоял сервак MD ,смотрел в сетки интерфейсами соответственно 10.4.1.1 и 10.5.1.1, все работало.Но тут я решил начать изучать Linux и наваял еще один сервак под Linux'ом с тремя сетевухами соответственно 10.4.1.2,10.5.1.2,10.6.1.2 .А шлюз прописал только на тачке 10.6.1.3! Грустный И изза этого все проблемы!
Всем ОГРОМНОЕ СПАСИБО за науку! :thanks:

Аватар пользователя sergeil

Re: RE:Настройка сети

mad_shef писал(а):
УРАААА!!!!! ЗАРАБОТАЛАААА!!!!
Все так и было!

Цитата:
Есть большие подозрение по поводу правильности настройки клиентов...

Как видите, я писал о клиентах, а не об одном клиенте...
Улыбка

Аватар пользователя woodoo

Re: RE:Настройка сети

mad_shef писал(а):
УРАААА!!!!! ЗАРАБОТАЛАААА!!!!

Ура. ;-)

RSS-материал