Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

ipcimek atiranyitasa belso halozatra

2 views
Skip to first unread message

Linux Levlist

unread,
Dec 16, 2009, 10:03:13 AM12/16/09
to

sziasztok,

adott 3 telephely (192.168.1.0, 192.168.2.0, 192.168.3.0) amit a
szolgaltato fog osszekotni
belso vpn-el, illetve a szolgaltato valamelyik adatparkjaban lesz egy
virtualis szerver, ami a tuzfal/proxy funkciot
latja majd el, ennek a belso laban a 192.168.4.0 halozat lesz, kulso
laban keresztul erik majd el az internetet
a telephelyek.

ez eddig vszinuleg menni is fog vszinu, sima iptables nat a belso
halozatokra, illetve proxy.

viszont, hogy szebb legyen a tortenet, 2 telephelyen lesz 1-1 dedikalt
gep, akiknek a vilag fele kulon fix ip
cimmel kell latszodniuk, mert ugy tudnak csak csatlakozni egy kulso
adatbazishoz, ha regisztraljak a
fix ipcimuket.

kertem tehat a virtualis szerver kulso labara 3 fix ip cimet.

kerdesem az lenne, hogy hogy lenne az egyszeubb szerintetek.
- 1 kulso lab 1 belso lab, a kulso labon 3 fix ip
- 3 kulso lab fix ip-vel, egy belso lab

illetve hogy tudom megmondani az iptablesnek, hogy ha a
192.168.1.15akar kimenni, akkor eth2n menjen
ha a 192.168.2.15 akkor eth3an menjen, egyebkent mindenki mas az eth1en?

udv / koszi
a.
_________________________________________________
linux lista - li...@mlf.linux.rulez.org
http://mlf2.linux.rulez.org/mailman/listinfo/linux

Papp Tamas

unread,
Dec 16, 2009, 10:41:47 AM12/16/09
to

On Wed, Dec 16, 2009 at 04:03:13PM +0100, Linux Levlist wrote:
> sziasztok,
>
> adott 3 telephely (192.168.1.0, 192.168.2.0, 192.168.3.0) amit a
> szolgaltato fog osszekotni
> belso vpn-el, illetve a szolgaltato valamelyik adatparkjaban lesz egy
> virtualis szerver, ami a tuzfal/proxy funkciot
> latja majd el, ennek a belso laban a 192.168.4.0 halozat lesz, kulso
> laban keresztul erik majd el az internetet
> a telephelyek.
>
> ez eddig vszinuleg menni is fog vszinu, sima iptables nat a belso
> halozatokra, illetve proxy.
>
> viszont, hogy szebb legyen a tortenet, 2 telephelyen lesz 1-1 dedikalt
> gep, akiknek a vilag fele kulon fix ip
> cimmel kell latszodniuk, mert ugy tudnak csak csatlakozni egy kulso
> adatbazishoz, ha regisztraljak a
> fix ipcimuket.
>
> kertem tehat a virtualis szerver kulso labara 3 fix ip cimet.
>
> kerdesem az lenne, hogy hogy lenne az egyszeubb szerintetek.
> - 1 kulso lab 1 belso lab, a kulso labon 3 fix ip
> - 3 kulso lab fix ip-vel, egy belso lab

Nem latok okot ra, mi lenne az elonye a 2. lehetosegnek egy alap
felallasnal.

tompos

ui.: Kerlek, ird at a nevedet a valodira, tiszteld meg ezzel a
listatagokat.

Ördögh András

unread,
Dec 16, 2009, 10:53:50 AM12/16/09
to

Papp Tamas <tom...@martos.bme.hu> írta (2009. december 16. 16:41):
> On Wed, Dec 16, 2009 at 04:03:13PM +0100, Linux Levlist wrote:
>> sziasztok,
>> viszont, hogy szebb legyen a tortenet, 2 telephelyen lesz 1-1 dedikalt
>> gep, akiknek a vilag fele kulon fix ip
>> cimmel kell latszodniuk, mert ugy tudnak csak csatlakozni egy kulso
>> adatbazishoz, ha regisztraljak a
>> fix ipcimuket.
>>
>> kertem tehat a virtualis szerver kulso labara 3 fix ip cimet.
>>
>> kerdesem az lenne, hogy hogy lenne az egyszeubb szerintetek.
>> - 1 kulso lab 1 belso lab, a kulso labon 3 fix ip
>> - 3 kulso lab fix ip-vel, egy belso lab
>
> Nem latok okot ra, mi lenne az elonye a 2. lehetosegnek egy alap
> felallasnal.
>
> tompos
>
> ui.: Kerlek, ird at a nevedet a valodira, tiszteld meg ezzel a
> listatagokat.

hmm, ok akkor 1 kártya elég, az intefacek ekkor eth0:0, eth0:1 eth:2 lesz
gondolom.
viszont a kérdésem továbra is fennáll, hogy az iptables melyik kapcsolojaval
tudnam megmondani, hogy a 192.168.1.15rol jovo keres az eth0:1en, a 2.13rol
jovo az eth0:2on minden mas a eth0:0on menjen ki?

köszi / üdv
a.

ui.: bocsi, nem is vettem észre hogy nincs kitöltve. korrigáltam.

Nemeth Gyorgy

unread,
Dec 16, 2009, 11:31:57 AM12/16/09
to

2009-12-16 16:53 keltezéssel, Ördögh András <linux....@gmail.com> írta:
> hmm, ok akkor 1 kártya elég, az intefacek ekkor eth0:0, eth0:1 eth:2 lesz
> gondolom.
> viszont a kérdésem továbra is fennáll, hogy az iptables melyik kapcsolojaval
> tudnam megmondani, hogy a 192.168.1.15rol jovo keres az eth0:1en, a 2.13rol
> jovo az eth0:2on minden mas a eth0:0on menjen ki?

Pl. iptables -t nat -I POSTROUTIN -s 192.168.1.15 -j DNAT --to-source
(eth0:1 publikus ip-je)

--
--- Friczy ---
'Death is not a bug, it's a feature'

Gabor Gombas

unread,
Dec 16, 2009, 1:33:17 PM12/16/09
to

On Wed, Dec 16, 2009 at 04:53:50PM +0100, Ördögh András wrote:

> hmm, ok akkor 1 kártya elég, az intefacek ekkor eth0:0, eth0:1 eth:2 lesz
> gondolom.

Ez mar kiment a divatbol. Egy interface-ra siman felhuzhatsz tobb cimet,
nincs szukseg aliasokra.

Gabor

--
---------------------------------------------------------
MTA SZTAKI Computer and Automation Research Institute
Hungarian Academy of Sciences
---------------------------------------------------------

Hegedüs Ervin

unread,
Dec 16, 2009, 2:38:13 PM12/16/09
to

hello,

> On Wed, Dec 16, 2009 at 04:53:50PM +0100, Ördögh András wrote:
>
> > hmm, ok akkor 1 kártya elég, az intefacek ekkor eth0:0, eth0:1 eth:2 lesz
> > gondolom.
>
> Ez mar kiment a divatbol. Egy interface-ra siman felhuzhatsz tobb cimet,
> nincs szukseg aliasokra.

alias nelkul hogy? tudsz peldat mutatni?


a.


--
Minden baj forrása az 1/x függvény.

Gabor Gombas

unread,
Dec 16, 2009, 2:57:57 PM12/16/09
to

On Wed, Dec 16, 2009 at 08:38:13PM +0100, Hegedüs Ervin wrote:
> hello,
>
> > On Wed, Dec 16, 2009 at 04:53:50PM +0100, Ördögh András wrote:
> >
> > > hmm, ok akkor 1 kártya elég, az intefacek ekkor eth0:0, eth0:1 eth:2 lesz
> > > gondolom.
> >
> > Ez mar kiment a divatbol. Egy interface-ra siman felhuzhatsz tobb cimet,
> > nincs szukseg aliasokra.
>
> alias nelkul hogy? tudsz peldat mutatni?

# ip addr add 192.168.1.1/24 brd 192.168.1.255 dev eth1
# ip addr add 192.168.2.1/24 brd 192.168.2.255 dev eth1
# ip addr add 192.168.3.1/24 brd 192.168.3.255 dev eth1
# ip addr show eth1
2: eth1: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN qlen 1000
link/ether 00:de:ad:be:ef:01 brd ff:ff:ff:ff:ff:ff
inet 192.168.1.1/24 brd 192.168.1.255 scope global eth1
inet 192.168.2.1/24 brd 192.168.2.255 scope global eth1
inet 192.168.3.1/24 brd 192.168.3.255 scope global eth1

Gabor

--
---------------------------------------------------------
MTA SZTAKI Computer and Automation Research Institute
Hungarian Academy of Sciences
---------------------------------------------------------

Hegedüs Ervin

unread,
Dec 16, 2009, 3:02:12 PM12/16/09
to

hello,

> > alias nelkul hogy? tudsz peldat mutatni?
>
> # ip addr add 192.168.1.1/24 brd 192.168.1.255 dev eth1
> # ip addr add 192.168.2.1/24 brd 192.168.2.255 dev eth1
> # ip addr add 192.168.3.1/24 brd 192.168.3.255 dev eth1
> # ip addr show eth1
> 2: eth1: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN qlen 1000
> link/ether 00:de:ad:be:ef:01 brd ff:ff:ff:ff:ff:ff
> inet 192.168.1.1/24 brd 192.168.1.255 scope global eth1
> inet 192.168.2.1/24 brd 192.168.2.255 scope global eth1
> inet 192.168.3.1/24 brd 192.168.3.255 scope global eth1

ahh, iproute is letezik, ezt mindig elfelejtem bakker....

koszonom,


a.

--
Minden baj forrása az 1/x függvény.

Molnár Roland

unread,
Dec 16, 2009, 2:54:03 PM12/16/09
to

Hegedüs Ervin írta:

> alias nelkul hogy? tudsz peldat mutatni?
>
>
ip addr add 10.0.0.1/24 dev eth0
ip addr add 10.10.0.2/16 dev eth0
...

ip addr list dev eth0

Az ip parancs talán az iproute/iproute2 csomag része.

Papp Tamas

unread,
Dec 16, 2009, 3:00:52 PM12/16/09
to

On Wed, Dec 16, 2009 at 08:57:57PM +0100, Gabor Gombas wrote:
>
> # ip addr add 192.168.1.1/24 brd 192.168.1.255 dev eth1
> # ip addr add 192.168.2.1/24 brd 192.168.2.255 dev eth1
> # ip addr add 192.168.3.1/24 brd 192.168.3.255 dev eth1
> # ip addr show eth1
> 2: eth1: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN qlen 1000
> link/ether 00:de:ad:be:ef:01 brd ff:ff:ff:ff:ff:ff
> inet 192.168.1.1/24 brd 192.168.1.255 scope global eth1
> inet 192.168.2.1/24 brd 192.168.2.255 scope global eth1
> inet 192.168.3.1/24 brd 192.168.3.255 scope global eth1

De a gyakorlatban ezzel ugyanott vagy, nem?

tompos

Gabor Gombas

unread,
Dec 17, 2009, 2:01:44 AM12/17/09
to

On Wed, Dec 16, 2009 at 09:00:52PM +0100, Papp Tamas wrote:

> > # ip addr add 192.168.1.1/24 brd 192.168.1.255 dev eth1
> > # ip addr add 192.168.2.1/24 brd 192.168.2.255 dev eth1
> > # ip addr add 192.168.3.1/24 brd 192.168.3.255 dev eth1
> > # ip addr show eth1
> > 2: eth1: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN qlen 1000
> > link/ether 00:de:ad:be:ef:01 brd ff:ff:ff:ff:ff:ff
> > inet 192.168.1.1/24 brd 192.168.1.255 scope global eth1
> > inet 192.168.2.1/24 brd 192.168.2.255 scope global eth1
> > inet 192.168.3.1/24 brd 192.168.3.255 scope global eth1
>
> De a gyakorlatban ezzel ugyanott vagy, nem?

# ifconfig eth1:1 192.168.4.1 netmask 255.255.255.0
# ip addr add 192.168.5.1/24 brd 192.168.5.255 label eth1:foobar dev eth1


# ip addr show eth1
2: eth1: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN qlen 1000
link/ether 00:de:ad:be:ef:01 brd ff:ff:ff:ff:ff:ff
inet 192.168.1.1/24 brd 192.168.1.255 scope global eth1
inet 192.168.2.1/24 brd 192.168.2.255 scope global eth1
inet 192.168.3.1/24 brd 192.168.3.255 scope global eth1

inet 192.168.4.1/24 brd 192.168.4.255 scope global eth1:1
inet 192.168.5.1/24 brd 192.168.5.255 scope global eth1:foobar

Magyarul a regi stilusu ifconfig kegyesen hazudik neked, mert a kernelen
belul nincs onallo eth1:1 ill. eth1:foobar interface; az ip pedig a
valosagot mutatja.

Gabor

--
---------------------------------------------------------
MTA SZTAKI Computer and Automation Research Institute
Hungarian Academy of Sciences
---------------------------------------------------------

Ördögh András

unread,
Dec 17, 2009, 3:43:08 AM12/17/09
to

hello,
>2009/12/16 Gabor Gombas <gom...@sztaki.hu>:

>> > > hmm, ok akkor 1 kártya elég, az intefacek ekkor eth0:0, eth0:1 eth:2 lesz
>> > > gondolom.
>> >
>> > Ez mar kiment a divatbol. Egy interface-ra siman felhuzhatsz tobb cimet,
>> > nincs szukseg aliasokra.
>>
>> alias nelkul hogy? tudsz peldat mutatni?
>
> # ip addr add 192.168.1.1/24 brd 192.168.1.255 dev eth1
> # ip addr add 192.168.2.1/24 brd 192.168.2.255 dev eth1
> # ip addr add 192.168.3.1/24 brd 192.168.3.255 dev eth1
> # ip addr show eth1
>
> Pl. iptables -t nat -I POSTROUTIN -s 192.168.1.15 -j DNAT --to-source
> (eth0:1 publikus ip-je)
> --- Friczy ---

köszi mindenkinek a gyors választ!
tehát akkor ha jól értelmezem:

belso halok 192.168.1, 192.168.2., 192.168.3.
belso lab eth0 - 192.168.4.
kulso labak eth1 (ha c-s a mask):
# ip addr add x.x.x.x/24 brd x.x.x.255 dev eth1
# ip addr add y.y.y.y/24 brd y.y.y.55 dev eth1
# ip addr add z.z.z.z/24 brd z.z.z.255 dev eth1

majd iptablesben:
iptables -t nat -A POSTROUTING -s 192.168.1.15 -j DNAT --to-source x.x.x.x
iptables -t nat -A POSTROUTING -s 192.168.2.15 -j DNAT --to-source y.y.y.y
iptables -t nat -A POSTROUTING -s 192.168.1.0/255.255.255.0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.2.0/255.255.255.0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.3.0/255.255.255.0 -j MASQUERADE

udv / koszi
a.

Gabor Gombas

unread,
Dec 17, 2009, 4:15:32 AM12/17/09
to

On Thu, Dec 17, 2009 at 09:43:08AM +0100, Ördögh András wrote:

> majd iptablesben:
> iptables -t nat -A POSTROUTING -s 192.168.1.15 -j DNAT --to-source x.x.x.x
> iptables -t nat -A POSTROUTING -s 192.168.2.15 -j DNAT --to-source y.y.y.y
> iptables -t nat -A POSTROUTING -s 192.168.1.0/255.255.255.0 -j MASQUERADE
> iptables -t nat -A POSTROUTING -s 192.168.2.0/255.255.255.0 -j MASQUERADE
> iptables -t nat -A POSTROUTING -s 192.168.3.0/255.255.255.0 -j MASQUERADE

Majdnem:

iptables -t nat -A PREROUTING -d server1.kulso.ip -j DNAT --to server1.belso.ip
iptables -t nat -A PREROUTING -d server2.kulso.ip -j DNAT --to server2.belso.ip
iptables -t nat -A POSTROUTING -s server1.belso.ip -j SNAT --to server1.kulso.ip
iptables -t nat -A POSTROUTING -s server2.belso.ip -j SNAT --to server2.kulso.ip
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to harmadik.kulso.ip
iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -j SNAT --to harmadik.kulso.ip
iptables -t nat -A POSTROUTING -s 192.168.3.0/24 -j SNAT --to harmadik.kulso.ip

Ha nem tevedek... Persze ez meg finomithato, pl. ha a belso szervereken
csak nehany portot kell elerni, akkor eleg azokat bekuldeni stb.

Gabor

--
---------------------------------------------------------
MTA SZTAKI Computer and Automation Research Institute
Hungarian Academy of Sciences
---------------------------------------------------------

Ördögh András

unread,
Dec 17, 2009, 5:08:10 AM12/17/09
to

hello,

2009/12/17 Gabor Gombas <gom...@sztaki.hu>:


> On Thu, Dec 17, 2009 at 09:43:08AM +0100, Ördögh András wrote:
>
> Majdnem:
>
> iptables -t nat -A PREROUTING -d server1.kulso.ip -j DNAT --to server1.belso.ip
> iptables -t nat -A PREROUTING -d server2.kulso.ip -j DNAT --to server2.belso.ip
> iptables -t nat -A POSTROUTING -s server1.belso.ip -j SNAT --to server1.kulso.ip
> iptables -t nat -A POSTROUTING -s server2.belso.ip -j SNAT --to server2.kulso.ip
> iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to harmadik.kulso.ip
> iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -j SNAT --to harmadik.kulso.ip
> iptables -t nat -A POSTROUTING -s 192.168.3.0/24 -j SNAT --to harmadik.kulso.ip
>
> Ha nem tevedek... Persze ez meg finomithato, pl. ha a belso szervereken
> csak nehany portot kell elerni, akkor eleg azokat bekuldeni stb.
>
> Gabor
>

koszonom a segitseget.
a finomhangolas termeszetesen kell, egy csomo szures es tiltas, de azt
mar meg tudom oldani,
most hogy az elvi sema megvan!

koszi megegyszer / udv
a.

0 new messages