Íå ïîëó÷àåòñÿ íàñòðîèòü Virtual DMZ

[naves]

ïðîâåðü íàñòðîéêè ïîäêëþ÷åíèÿ âíóòðåííåé ìàøèíû ïî LAN, â êà÷åñòâå default gateway äîëæåí áûòü ðîóòåð, è íå äîëæíî áûòü ëèøíèõ ìàðøðóòîâ.
ó ìåíÿ áûëà ïîõîæàÿ ïðîáëåìà, çàïðîñû èç âíåøíåé ñåòè ïðîõîäèëè íà âíóòðåííþþ ìàøèíó, à îíà îòâåòû îòñûëàëà íå òóäà.
è èìõî virtual Server è DMZ ðàáîòàþò òîëüêî ïî îòäåëüíîñòè. èëè âñå ïîðòû ïðîáðàñûâàþòñÿ íà îäíó ìàøèíó ÷åðåç DMZ, èëè ïîðòû íàñòðàèâàþòñÿ ïîîòäåëüíîñòè ÷åðåç virtual Server. èëè ïðàâèòü iptables ÷åðåç êîíñîëü âûðóáèâ âñå ÷åðåç âåá-ìîðäó

[anikss]

ïðîâåðü íàñòðîéêè ïîäêëþ÷åíèÿ âíóòðåííåé ìàøèíû ïî LAN, â êà÷åñòâå default gateway äîëæåí áûòü ðîóòåð, è íå äîëæíî áûòü ëèøíèõ ìàðøðóòîâ.
ó ìåíÿ áûëà ïîõîæàÿ ïðîáëåìà, çàïðîñû èç âíåøíåé ñåòè ïðîõîäèëè íà âíóòðåííþþ ìàøèíó, à îíà îòâåòû îòñûëàëà íå òóäà.

Îáàíà! Äî ìåíÿ, êàæåòñÿ, äîøëî, ÷òî òû õîòåë ñêàçàòü! Ñïàñèáî! Ìåíÿ òåðçàþò ñìóòíûå ñîìíåíèÿ.......

À âåäü ïðàâäà! Ó ìåíÿ ìàøèíà, íà êîòîðóþ ôîðâàðäèíã íå èäåò, òàê âîò, ó íåé äðóãîé ïðîâàéäåð (íå òîò, ÷òî äî ðîóòåðà), è ñîîòâåòñòâåííî äðóãèå íàñòðîéêè. ×òî æå, ïîëó÷àåòñÿ, ÷òî, ïðèíÿâ ïàêåò ïî ôîðâàðäèíãó îò ðîóòåðà ñåðâåð îáðàáàòûâàåò åãî è îòñûëàåò â äðóãóþ ñåòü?!
Âñå ôàêòû ãîâîðÿò îá ýòîì: êîãäà ÿ îòêëþ÷èë ñåðâåðíîãî ïðîâàéäåðà è ïåðåíàñòðîèë èíåò ñåðâåðà íà ðîóòåð, òî âñå ñòàëî ðàáîòàòü!

Íî ðàçâå òàêîå âîçìîæíî? ß âñåãäà äóìàë, ÷òî â ïàêåòàõ ïîñëå NAT âíåøíèé IP-àäðåñ çàìåíÿåòñÿ íà âíóòðåííèé.

[naves]

íàñêîëüêî ÿ ïîìíþ òñð-ñòåê, îïåðàöèîíêà îòñûëàåò îò ñåáÿ ïàêåòû â çàâèñèìîñòè îò òîãî êàêèå ó íåå íàñòðîåíû øëþçû è ìàðøðóòû. à ðîóòåð ïðîáðàñûâàÿ âõîäÿùèé ïàêåò îñòàâëÿåò âíåøíèé àäðåñ IP èñòî÷íèêà, ìåíÿåò òîëüêî MAC-àäðåñà. ìàøèíà ïîëó÷àÿ âíåøíèé ïàêåò, îòñûëàåò îòâåò â çàâèñèìîñòè îò ñâîèõ íàñòðîåê, òå ïîäñòàâëÿåò â ïàêåòû àäðåñà íàçíà÷åíèÿ IP-âíåøíèé, MAC-ìàðøðóòèçàòîðà èç íóæíîãî ìàðøðóòà èëè default gateway
êàê-òî òàê
à åñëè ìàøèíà èìååò íåñêîëüêî âíåøíèõ èï-àäðåñîâ èíòåðíåòà, òî òàì âñå íàñòðàèâàåòñÿ ÷åðåç ïðîòîêîë àíîíñèðîâàíèÿ àäðåñîâ (íå ïîìíþ òî÷íîãî àíãëèöêîãî íàçâàíèÿ)

[djet]

Õî÷åòñÿ ñäåëàòü àáñîëþòíûé ïðîáðîñ âñåõ ïîðòîâ, êðîìå îòêðûòûõ íà ñàìîì ðîóòåðå. Êàê ýòî ìîæíî ñäåëàòü? Ñåé÷àñ çàäàíî òàêîå ïðàâèëî:

Code:

-A VSERVER -p tcp -j DNAT --to-destination 192.168.1.4 
-A VSERVER -p udp -j DNAT --to-destination 192.168.1.4

, íî áåç ïðîáðîñà ÷åðåç VSERVER ñîáñòâåííûõ ïîðòîâ ðîóòåðà äîñòó÷àòüñÿ äî íèõ íåâîçìîæíî.

[-=DGN=-]

Ñîçäàë äîïîëíèòåëüíûé àäðåñ äëÿ ëîêàëêè, vlan1:0
íî îí íå âêëþ÷àåòñÿ â DMZ, òî åñòü ïðè îáðàùåíèè íà íåãî ÿ íå ìîãó ïîïàñòü íà âíóòðåííèé ñåðâàê. âñòàâèë ñòðî÷êó prerouting â nat_rules
íî è îí òîæå íå ñîõðàíÿåòñÿ âî ôëåøå ;-((

Êàê áûòü? Ìîæåò êòî ïîäñêàæåò êàê çàñòàâèòü åãî êîíôèã ïåðå÷èòàòü? Èëè ïðàâèëî iptables?

[-=DGN=-]

ß íàñòðîèë DMZ âíóòðü, è îòäåëüíî íà âíîâü ïîäíÿòîì àëüÿñå WAN ïîðòà
âîò òàêèìè ñòðî÷êàìè â /tmp/local/sbin/post-mount

ifconfig vlan1:0 10.11.69.121 netmask 255.255.255.224.0

ïîäíÿë ðåäèðåêò ïîðòîâ

iptables -t nat -A PREROUTED -p top -d 10.11.69.121/255.255.255.255 --dport 80 -j DNAT --192.168.61.97:80

âñå ðàáîòàåò êàêîå-òî âðåìÿ... åñòü ïîäîçðåíèå, ÷òî äî ïåðåêîííåêòà VPNà (÷åðåç êîòîðûé ñîåäèíåíèå â èíåò îðãàíèçóåòñÿ).

Êàê ìíå ýòó áåäó ïîáîðîòü?

[Marks]

â post-firewall âñ¸ ýòî íàäî

[-=DGN=-]

â post-firewall âñ¸ ýòî íàäî

À ãäå îí ëåæèò?
Èëè åãî òîæå íàäî ñîçäàòü â /tmp/local/sbin?

[bigest]

Îòâåò óòâåðäèòåëüíûé.

[-=DGN=-]

Íàñòðîèë ïðîáðîñ ïîðòîâ âíóòðü ëîêàëêè:
iptables -t nat -A PREROUTED -p top -d 212.30.190.101/255.255.255.255 --dport 80 -j DNAT --192.168.61.97:80

Êîãäà èç ëîêàëêè îáðàùàþñü ê 212.30.190.101 - âñå îê, êîãäà ñ èíåòà - ôèãó.

Åùå ïîçàâ÷åðà ðàáîòàëî. Ñ òåõ ïîð îñîáî íè÷åãî íå ìåíÿë, ðàçâå ÷òî âíåñ ïðàâèëî â post-firewall

Ïûòàëñÿ ñäåëàòü êàê-òî åùå - íå âèäèò èç íåòà è âñå òóò. Äàæå DMZ âêëþ÷àë...

Ïîäñêàæèòå ãäå êîïàòü, âåñü äåíü ñåãîäíÿ áèëñÿ...

[Ilmarinen]

Íàñòðîèë ïðîáðîñ ïîðòîâ âíóòðü ëîêàëêè:
iptables -t nat -A PREROUTED -p top -d 212.30.190.101/255.255.255.255 --dport 80 -j DNAT --192.168.61.97:80

Êîãäà èç ëîêàëêè îáðàùàþñü ê 212.30.190.101 - âñå îê, êîãäà ñ èíåòà - ôèãó.

Åùå ïîçàâ÷åðà ðàáîòàëî. Ñ òåõ ïîð îñîáî íè÷åãî íå ìåíÿë, ðàçâå ÷òî âíåñ ïðàâèëî â post-firewall

Ïûòàëñÿ ñäåëàòü êàê-òî åùå - íå âèäèò èç íåòà è âñå òóò. Äàæå DMZ âêëþ÷àë...

Ïîäñêàæèòå ãäå êîïàòü, âåñü äåíü ñåãîäíÿ áèëñÿ...

Óêàçàííîå ïðàâèëî íå ÿâëÿåòñÿ "ðàçðåøàþùèì", îíî òîëüêî ïðîèçâîäèò òðàíñëÿöèþ àäðåñîâ.
Î÷åâèäíî â FORWARD íåò ðàçðåøàþùåãî ïðàâèëà.
Âî-ïåðâûõ, ñòîèò ïîñìîòðåòü äåéñòâèòåëüíî ëè ïðàâèëî ñðàáàòûâàåò ïðè îáðàùåíèè íà 80 ïîðò èç-çà ïðåäåëîâ ëîêàëüíîé ñåòè ïî èçìåíåíèþ ñ÷åò÷èêà ó ïðàâèëà (iptables -t nat -n -v -L --line-numbers).
Âî-âòîðûõ, ïîñìîòðåòü âíèìàòåëüíî ïðàâèëà â FORWARD.
Åñëè "ïðîáðîñ ïîðòîâ" äåëàòü ñðåäñòâàìè web-èíòåðôåéñà, òî â FORWARD äîáàâëÿåòñÿ ïðàâèëî

Code:

iptables -A FORWARD -m conntrack --ctstate DNAT -j ACCEPT

Êîòîðîå è ïðîïóñêàåò âåñü òðàôèê ïîäâåðãøèéñÿ ïðåîáðàçîâàíèþ DNAT. Îíî ïðè çàãðóçêå äîáàâëÿåòñÿ ïðåäïîñëåäíèì, ïåðåä

Code:

-A FORWARD -o br0 -j DROP

ß ïîëàãàþ, ÷òî îíî äîáàâëÿåòñÿ ïðè âêëþ÷åííîé îïöèè Enable Virtual Server? â web-èíòåðôåéñå.

[-=DGN=-]

Ñåíêñ. ðàçîáðàëñÿ. áûëà îïå÷àòêà â ñòðî÷êå.

êðîìå òîãî, íàøåë åùå îäèí áàã.
ëîêàëüíûé ñåðâåð ïîäêëþ÷åí ê ðàçíûì êàíàëàì, è äåôîëò ãåéòâåé ïåðåêëþ÷àåòñÿ â çàâèñèìîñòè îò òîãî, êàêîé êàíàë áîëåå æèâîé. òàê âîò, â ñëó÷àå êîãäà äåôîëò ãåéòâåé íå ðîóòåð, òî íåñìîòðÿ íà òî, ÷òî ê íåìó ïðèõîäÿò ïàêåòû îò ðîóòåðà, îòâåòû îí øëåò íà äåôîëò ãåéò. è ïî÷åìó-òî (íó íå âñå-ëè ðàâíî êàêèì ïóòåì èäóò ïàêåòû??) îòâåòû íå äîõîäÿò... ;-(

Åùå âîïðîñ - à NAT â îáå ñòîðîíû âîçìîæåí? ×òîá íàðîä èç ãîðîäñêîé ëîêàëêè õîäèë â ìîþ ëîêàëêó ïðîñòî ïðîïèñàâ ñåáå ìàðøðóò äî ðîóòåðà? Îíî êîíå÷íî, ìîæíî è ïðîñòîé ìàðøðóòèçàöèåé îáîéòèñü, íî òàê êàê ó ìåíÿ òðè ëîêàëêè îò ðàçíûõ ïðîâàéäåðîâ... Õî÷åòñÿ ñäåëàòü òî÷êó îáìåíà òðàôèêîì è ÷óæèå àäðåñà ïóñêàòü â ñîñåäíþþ ëîêàëêó ÷åðåâàòî...

[kolyuchy]

у меня роутер WL-520GC ... прошивка от Oleg'a соответственно для этого роутера ... проблема у меня заключается в низкой отдаче на торренте .. просьба не тыкать в прикрепленную тему, т.к. вопрос немного не в том ... вопрос в том, как открыть необходимые порты или настроить dmz на данном роутере.

Ещё такая проблема, что компьютеры объединенные через роутер не видят друг друга в сетевом окружении .. группа одна и та же .. тут проблема тоже с настройкой dmz?

[Oleg]

Ïî ïåðâîìó âîïðîñó - îòêðûâàåì ìàíóàë è íàñòðàèâàåì âèðóòàëüíûé ñåðâåð.

Ïî âòîðîìó - äåëî íå â ðîóòåðå, à â íàñòðîéêàõ Âàøèõ êîìïüþòåðîâ. Íà÷èíàÿ îò áàíàëüíîãî îòñóòñòâèÿ "êëèåíòà äëÿ ñåòåé ìàéêðîñîôò" è çàêàí÷èâàÿ ôàåðâîëàìè.

[kolyuchy]

мануал к роутеру? а ничего что прошивка другая, не повлияет?