Главная » Форум » Gentoo Linux » Системное администрирование

routing [SOLVED]

sidsoft67 2 июля, 2009 - 23:12

Здравствуйте
На одном мне доставшемся по наследству сервере стоит Linux SuSE... там роутинги берутся при запуске системы из файла /etc/rc.d/rc.routing.
Не могу сказать что удобно, но мне помогало это, он по сути внутренний шлюз, между сетями филиалов, доступа в интернет у него нет, у него работа такая, роутить :).
Он распределяет пакеты, если кому то надо в интернет по конкретному адресу то он его посылает в интернет по конкретному адресу... жестко, например если нужен айпи в интернете 194.xxx.xx.xx то я пишу такое правило в файле /etc/rc.d/rc.routing:

route add 194.xxx.xx.xx gw 192.168.xxx.xxx

где 192.168.xxx.xxx адрес шлюза у которого есть интернет.
И таких роутингов там ТЬМА, не менее 200-т записей.
Так вот, можно ли в Gentoo тоже создать что то подобное, т.е. создать файл по типу rc.routing и что бы после перезапуска все роутинги читались из файла и были активными?

‹ apache 2.2.8-r1 (SOLVED) Объединить два файла mbox ›
»

/etc/conf.d/net

Автор iNDiAnFLy, дата создания 2 июля, 2009 - 23:32.

/etc/conf.d/net

routes_eth0="
194.89.55.32 via 192.168.1.254
195.104.33.0/24 via 192.168.1.1
"

»

-

Автор sidsoft67, дата создания 2 июля, 2009 - 23:36.

Согласен, и я знаю про это.
Ну а так можно ли например прописать примерно так:

routes_eth0=" /etc/conf.d/routing"

а в файле routing те самые

194.89.55.32 via 192.168.1.254
195.104.33.0/24 via 192.168.1.1

по типу

route add 194.89.55.32 gw 192.168.1.254
route add 195.104.33.0/24 gw 192.168.1.1

»

есть postup функция в

Автор dancingfire, дата создания 2 июля, 2009 - 23:54.

есть postup функция в /etc/conf.d/net которой можно выполнить какой-нибудь скрипт

»

-

Автор sidsoft67, дата создания 3 июля, 2009 - 12:22.

Почитал я, про эту функцию, не то и не В туда...
решил просто (правда может несколько туповато, но главное что работает), засунул выполнения скрипта в файл
/etc/conf.d/local.start
и работает.

Если есть другие варианты то буду рад их здесь видеть.

»

Какой кошмар. 200 статических

Автор winterheart, дата создания 2 июля, 2009 - 23:36.

Какой кошмар. 200 статических роутов. Динамическую маршрутизацию не пробовал?

Не грусти, товарищ! Всё хорошо, beautiful good!

»

-

Автор sidsoft67, дата создания 2 июля, 2009 - 23:39.

Вот тут можно по подробнее пожалуйста.
Сразу скажу - не пробовал.

»

emerge quagga, man ospf

Автор slepnoga, дата создания 3 июля, 2009 - 09:21.

emerge quagga, man ospf ,http://opennet.ru/base/cisco/ospf_intro.txt.html
на 200 маршрутов RIP лучше не пробовать.

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

»

А может права доступа к

Автор dancingfire, дата создания 2 июля, 2009 - 23:39.

А может права доступа к интернету всё-таки iptables-ами делать а не через роутинг?
ИМХО, куда более подходящий инструмент.
Или я чего-то не понимаю?

»

-

Автор sidsoft67, дата создания 2 июля, 2009 - 23:44.

Из за простого перенаправления пакетов ставить IPTABLES, когда можно просто

route add xxx.xxx.xxx.xxx gw xxx.xxx.xxx.xxx

Согласитесь куда проще, а может даже и изящнее.

»

Ну не знаю. На мой взгляд

Автор dancingfire, дата создания 2 июля, 2009 - 23:53.

Ну не знаю.
На мой взгляд iptables -I FORWARD -j ACCEPT --src ip --dst ip -p tcp --dport наоборот выглядит правильнее. дело вкуса.
Или вообще можно делать это в -t nat через MASQUERADE, если регулируется доступ во внешнюю сеть.

Поясните:

Цитата:
он по сути внутренний шлюз
...
если кому то надо в интернет

Он распределяет доступ в интернет или нет?

»

-

Автор sidsoft67, дата создания 3 июля, 2009 - 08:32.

Нет он не распределяет доступ в интернет, у него вообще нет интерфейса который смотрит в интернет, он просто роутит пакетами между несколькими филиалами, а некоторым пользователям (чаще всего программы специфические, которые подключаются к серверу который располагается в интернет)не нужен интернет совсем, им нужны только некоторый айпи адреса в интернете, вот он и форвардит пакет следующему шлюзу у которого есть интернет и все.

»

Контроль доступа средствами

Автор Pinkbyte, дата создания 3 июля, 2009 - 11:01.

Контроль доступа средствами маршрутной таблицы? Оставим в стороне вопрос потери производительности, но зачем микроскопом забивать гвозди? Контроль доступа пользователей должен осуществляться теми средствами, которые для этого разрабатывались. Роутинг разрабатывался ОТНЮДЬ не для этого и то, что его для этого можно "приспособить", еще не означает что это следует делать. Ставьте iptables и прописывайте туда разрешения, по ходу дела сможете их сгруппировать(собственные таблицы, multiport и прочее). Да и управляемость будет гораздо лучше...

Нейтральность - высшее достижение сознания!

»

-

Автор sidsoft67, дата создания 3 июля, 2009 - 11:22.

У меня нет в нем контроля доступа... маршрутизатор просто показывает ПУТЬ куда обращаться если был запрошен айпи 194.ххх.ххх.ххх и все...
По дефолту всем разрешено ходить на указанный выше айпи адрес...
Но доступа НА ВЕСЬ ИНТЕРНЕТ ни у кого нет, контроль доступа в интернет осуществляется на ДРУГОЙ машине, вот там подняты и iptables и прокси.
А у данного сервера, задание ТОЛЬКО МАРШРУТИЗИРОВАТЬ, ИНТЕРНЕТА У НЕГО НЕТ И В ПОМИНЕ.

»

Короче, фигня

Автор winterheart, дата создания 3 июля, 2009 - 11:46.

Короче, фигня какая-то.
Нельзя что ли использовать ту другую машину как нормальный человеческий шлюз с маршрутом по умолчанию и резать ненужное межсетевым экраном? Зачем здесь вообще сдался этот недомаршрутизатор?

Не грусти, товарищ! Всё хорошо, beautiful good!

»

/

Автор Anarchist, дата создания 3 июля, 2009 - 11:51.
winterheart написал(а):
Нельзя что ли использовать ту другую машину как нормальный человеческий шлюз с маршрутом по умолчанию и резать ненужное межсетевым экраном? Зачем здесь вообще сдался этот недомаршрутизатор?

Эмуляция BGP?

:wq
--
Live free or die

»

-

Автор sidsoft67, дата создания 3 июля, 2009 - 11:57.

А зачем все в одной машине должно быть?
Разве не правильнее разнести задачи по разным машинам?
У меня приоритет на филиалы, мне нужно между филиалами и головным офисом держать связь и их связывать в одной точке и параллельно он пускает в интернет жестко по определенным айпи, вот как раз эту задачу и выполняет этот сервер,а задача другого сервака это учет и контроль доступа в интернет, он менее важен.
Если накроется сервак на котором все и вся то сами подумайте какая будет ЖОПА.
И связи между филиалами не будет и интернет накроется одним известным тазом.

А сейчас еще одно недоразумение вышло... скорее всего мои "кривые" руки что не то сделали, а может это из за того что версия iptables v1.4.3.2?
В общем я даю простое и в принципе не заурядное правило ПОРЕЗАТЬ ВСЕ И ВСЯ

iptables -t nat -I PREROUTING 2 -d 192.168.3.2 -p tcp -j DROP

а он мне в ответ выдает

iptables v1.4.3.2:
The "nat" table is not intended for filtering, the use of DROP is therefore inhibited.

Try `iptables -h' or 'iptables --help' for more information.

Не понял где не так?

»

Не, ну он же пишет. Нельзя в

Автор dancingfire, дата создания 3 июля, 2009 - 12:04.

Не, ну он же пишет. Нельзя в таблицу nat добавлять DROP
DROP это инструкция для другое таблицы. В nat описывается изменение пакетов. tcp/ip пакеты прошедшие через нат трансформируются, у них меняются какие-то параметры. А принимать или нет пакет решается в другом месте.

»

-

Автор sidsoft67, дата создания 3 июля, 2009 - 12:19.

палин, а раньше то работало...
А почему сейчас не работает?

!!!OFFTOPIC!!!
Сегодня вычитал что Китайцы яйца стали подделывать =)
http://business-s.ru/viewtopic.php?f=3&t=274

»

Не важно почему. Так

Автор dancingfire, дата создания 3 июля, 2009 - 12:56.

Не важно почему. Так нельзя.
Скорее всего вам это нужно добавлять в цепочку FORWARD

»

-

Автор sidsoft67, дата создания 3 июля, 2009 - 13:26.

Понял.
Ругается правильно, не стоит фильтровать/разрывать соединения в цепочке nat (а также mangle и т.п.). Для этого предназначен filter.

»

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".