From: Serdar ŞANAL (serdar@istas.com.tr)
Date: Mon 04 Apr 2005 - 08:49:29 EEST
Öncelikle yanıtınız için teşekkür ederim. Sanırım tam olarak anlatamadım.
Sistem hakkında biraz daha bilgi vereyim.
Redhat 9 - 1. Makina
eth0 = 10.0.0.1
eth1 = 192.168.0.1
eth2 = 192.168.1.1
Gateway = 192.168.0.2
----------------------
Redhat 9 - 2. Makina
eth0 = 10.0.0.2 (Squid)
eth0:0 = 10.0.0.3 (Mail server)
Gateway = 10.0.0.1
.
.
.
----------------------------
Adsl Modem = 192.168.1.2
Router = 192.168.0.2
Iptables tanımları:
-A POSTROUTING -o eth2 -s 10.0.0.2 -j SNAT --to 192.168.1.1 (proxy' den
gelen istekler adsl üzerinden çıkacak
-A POSTROUTING -o eth1 -s 10.0.0.3 -j SNAT --to 192.168.0.1 (Mail serverdan
gelen istekler LL üzerinden çıkacak)
-A PREROUTING -i eth1 -d 192.168.0.1 -j DNAT --to-destination 10.0.0.3
Şimdi sistem bu halde iken iptables' deki adsl ile ilgili olan SNAT satırı
çalışmıyor. Eğer gateway' i 192.168.1.2 yaparsam LL için olan satır
çalışmıyor. Iptables olan makinaya 2 gateway verdim ama o zaman daha garip
bir durum oldu. Iptables ile DNAT yapılmış makinalara dışarıdan ulaşmaya
çalışınca ulaşamadım. Trace ile izlediğimde routeri geçtikten sonra Adsl'
nin global ip' sine yönlendiğini gördüm.
Sonuç olarak istediğim; Proxy istekleri adsl üzerinden çıkacak, proxy' ye
girmeyip direk MASQ kullanan kullanıcılar adsl üzerinden çıkacak, mail, web,
ftp vb. serverlardan gelen istekler LL üzerinden çıkacak. Bunları yapabilmek
için neler yapmalıyım, teşekkürler.
_____
From: linux-ag-bounces@liste.linux.org.tr
[mailto:linux-ag-bounces@liste.linux.org.tr] On Behalf Of Ayhan HACIOĞLU
Sent: Saturday, April 02, 2005 3:53 PM
To: linux-ag@liste.linux.org.tr
Subject: RE: [Linux-ag] Adsl ve Leased Line
Merhaba ;
Öncelikle kısıtlı bir zamanımda yazmaya çalıştığım bir yanıt olduğundan
kusuruma bakmayın ama en azından gördüklerimi size iletmek istedim;
Linux pc de 3 adet interface olduğunu anlıyorum;
Eth0 yerel ağa, eth1 LL, eth2 Adsl tarafına bakan interface ler,
Adsl modemi bridge modda calıştırmadan, routing kısmında gelen ve giden tüm
paketleri 192.168.1.x e , LL router içinde de aynı sekilde gelen ve giden
tüm paketleri 192.168.0.x interface ine yönlendirmeniz gerek.
Sonrasında Adls ve LL routerin Linux pc ye baglantılarını 2 adet cross ile
yapmanız daha uygun olacaktr.
Localden gelecek 1 adet pc Adsl üzernden Full TCP yetkisi ile cıkacak
diyelim " iptables -t nat -A POSTROUTING -o eth2 -p tcp -s 10.0.0.5 -j SNAT
-to-source 192.168.1.x "
Eğer localden gelecek başka bir network varsa ( 172.16.1.x ) ve proxy
serverden transparan olarak çıkacaksa öncelikle Linux a statik route
eklenmelidir. Sonrasında ki Rule ise " iptables -t nat -A PREROUTING -i eth0
-p tcp -s 172.16.1.x/24 --dport 80 -j REDIRECT --to-ports 8080 ( Proxy nin
8080 de calıştıgını ve tarnsparan ayarlaının yapıldıgını düşünerek)
Sonrasında LL kısmı için " iptables -t nat -A POSTROUTING -m -multiport -p
tcp -s 10.0.0.x --dport 20,21(ftp data ve ftp için udp desteğide vermek
gerek),25,110,443(ssl bankacılık işlemleri),80(full http) -j SNAT
--to-source 192.168.0.x
Aşağıda yazmıs olduğunuz iptables satırlarında hem 10.0.0.x networkunu kendi
başına SNAT ile nete cıkarıyor, hemde MASQ ederek tekrar aynı işlemi
yapıyorsunuz, yani o satırlardan biri olmasa özellikle servis kısıtlı bu işi
yapmak istiyorsanız SNAT ı kullanmanız daha mantıklı olacaktır. Kernelde
Ftp, irc, vs destekleri de acılısta Rc.local içerisine yazarak
yükleyebilirsiniz, daha acıklayıcı yazmamak isterdim ama vaktim kısıtlı..
iyi çalışmalar umarım fikir verir .
-----Original Message-----
From: linux-ag-bounces@liste.linux.org.tr
[mailto:linux-ag-bounces@liste.linux.org.tr] On Behalf Of Serdar ŞANAL
Sent: Saturday, April 02, 2005 2:34 PM
To: linux-ag@liste.linux.org.tr
Subject: [Linux-ag] Adsl ve Leased Line
Selamlar;
Daha oncede sorulmus ama verilen cevaplarla bir cozum uretenedim. Yeni
bir adsl internet hattını daha once calisan bir LL hatla beraber calistirmak
istiyorum. Sistemin yapisi soyle;
Redhat 9
---------
eth0 --> Ic network 10.0.0.0/24
eth1 --> Router 192.168.0.0/24
eth2 --> Adsl modem 192.168.1.0/24
Simdi bu sistemde proxy server (10.0.0.x) ve bir kac makinadan
(10.0.0.x-y-z) gelen isteklerin eth2 uzerinden cikmasini, mail, web, ftp
vb. servislerden gelen isteklerin de LL uzerinden cikmasini istiyorum. Iki
adet gateway tanimladim ama disaridan LL'ye gelen istekler localdaki
makinalara ulasmadi.
Proxy icin;
-A POSTROUTING -o eth2 -s 10.0.0.x -j SNAT --to 192.168.1.x
ve diger makinalar icin
-A POSTROUTING -o eth2 -j MASQUERADE
Dnat tanimlarida soyle;
-A PREROUTING -d 192.168.0.y -j DNAT --to-destination 10.0.0.y
Mumkunse sstemi cok degistirmemi gerektirmeyecek cevaplar verirseniz
sevinirim.
Not : Bu e-posta Istas Bilgi Islem Merkezi tarafindan VirusBuster MailShield yazilimi ile virus taramasindan gecirilmistir.
_______________________________________________
Linux-ag mailing list
Linux-ag@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-ag