Добро пожаловать, Гость. Пожалуйста авторизуйтесь здесь.

	Введите FGHI ссылку: Присутствуют сообщения из эхоконференции RU.LINUX с датами от 24 Jan 02 06:01:34 до 01 Jul 24 10:11:50, всего сообщений: 8493 Ответить на сообщение К списку сообщений Предыдущее сообщение Следующее сообщение = Сообщение: 542 из 8493 ========================================== RU.LINUX = От   : Peter Irich                      2:5020/400         04 Dec 13 22:27:24 Кому : Valentin Davydov                                    04 Dec 13 22:27:24 Тема : Re: secondary gate FGHI : area://RU.LINUX?msgid=<1187476996@aspen.stu.neva.ru>+76848163 На   : area://RU.LINUX?msgid=<1187476984@ddt.demos.su>+c1c723ab = Кодировка сообщения определена как: CP866 ================================== Ответ: area://RU.LINUX?msgid=2:5030/1957+52a05e50 ============================================================================== From: Peter Irich <peter0irich@rambler.ru> On 12/04/13 18:51, Valentin Davydov wrote: >>    From: Peter Irich <peter0irich@rambler.ru> >>    Date: Tue, 3 Dec 2013 17:41:08 +0000 (UTC) >> >>>>> Hу и? Одно правило в NAT... >>>>> >>>> Вот я пока и не сумел создать это правило. >>> >>> В бзде (пусть у неё адрес 192.168.0.132) я вот прямо сейчас попробовал: >>> >>> # natd -a 192.168.0.132 >>> # ipfw add XXX divert natd all from any to any via 192.168.0.132 >>> >>> Hа винде (которая 192.168.0.129) сказал default gateway 192.168.0.132, >>> указал известный DNS - и всё заработало и на бзде, и на винде. >>> >>>> В книге пример >>>> для двух интерфейсов, с одним пока не получилось. >>> >>> Интерфейсы-то тут причём? Интерфейсами роутинг заведует, а nat транслирует >>> _адреса_ в пакетах, которые можно собирать хоть с одного интерфейса, хоть >>> с тысячи, нату пофиг. >>> >> В iptables дла NAT надо указать выходной интерфейс, > > А не надо ли там, часом, указывать два правила? Одно snat в postroutingе, > другое dnat в preroutingе. Соответственно, у одного этот интерфейс будет > выходным, у другого - входным. Типа > > -t nat -A POSTROUTING -o eth0 -j SNAT -s 192.168.0.129 --to 192.168.0.132 > > и > > -t nat -A PREROUTING -i eth0 -j DNAT -d 192.168.0.132 --to 192.168.0.129 > >> а у меня на eth0 >> и хаб и 2-й компьютер. Пока не получается разделить сети с точки >> зрения iptables. При этом "iptables -S nat" пишет, что нет такой >> цепочки, хотя команду я вводил. > > Показывай конкретно, что ты вводишь и что оно говорит в ответ. > Hет, PREROUTING точно не надо, нигде не встречал такой рекомендации. Вообще сегодня у меня получилось, но, кажется, излишне сложно, завтра попробую попроще, как мне посоветовали. Сегодня как-то удалось добиться желаемого. Сначала выяснилось, что со 2-го компьютера сайты в Интернет пингуются, но только по ip-адресам, но не по именам, т.е. имена не разрешаются. Тогда мне посоветовали добавить в конфигурацию named две записи: listen-on port 53 { any; }; allow-query { сеть_1; сеть_2; localhost; }; Я и раньше пытался настроить named, но не сумел. В результате получилась такая конфигурация: /etc/network/interfaces на 2-м: auto lo loopback auto eth0 iface eth0 inet static address 192.168.1.129 network 192.168.1.0 netmask 255.255.255.0 broadcast 192.168.1.255 gateway 192.168.1.132 dns-server 192.168.1.132 /etc/network/interfaxes на 1-м: auto lo iface lo inet loopback # The primary network interface auto eth0 iface eth0 inet static address 192.168.0.132 netmask 255.255.255.0 network 192.168.0.0 broadcast 192.168.0.255 dns-nameservers 192.168.0.1 gateway 192.168.0.1 auto eth0:1 iface eth0:1 inet static address 192.168.1.132 netmask 255.255.255.0 network 192.168.1.0 broadcast 192.168.1.255 В /etc/named/: db.root: .                        3600000  IN  NS    A.ROOT-SERVERS.NET. A.ROOT-SERVERS.NET.      3600000      A     192.168.0.1 named.conf.options: options { directory "/var/cache/bind"; forwarders { 192.168.0.1;  }; auth-nxdomain no;    # conform to RFC1035 listen-on port 53 { any; }; allow-query { 192.168.0.0/24; 192.168.1.0/24; localhost; }; listen-on-v6 { any; }; }; В named.conf добавил инструкцию masters server { 192.168.0.1; }; В named.conf.local раскомментировал include "/etc/bind/zones.rfc1918"; После загрузки системы на 1-м ввёл команды; наверное, из iptables достаточно было одной с "-t nat": modprobe iptable_nat modprobe ip_conntrack modprobe ip_conntrack_ftp iptables -F iptables -P INPUT DROP iptables -P FORWARD DROP iptables -t nat -A POSTROUTING -s 192.168.1.129 -o eth0 -j SNAT --to-source 192.168.0.132 iptables -A INPUT -i eth0 -j ACCEPT iptables -A OUTPUT -o eth0 -j ACCEPT iptables -A FORWARD -i eth0 -j ACCEPT После этого на 2-м интернетовские имена стали разрешаться. Также я не знаю, надо ли "-s 192.168.1.129" или это игнорируется. Мне сказали, что forwarders {} лишняя, не знаю. Также мне не раз советовали указать на 2-м в качестве dns-сервера не 1-й, а хаб 192.168.0.1, тогда и dns-сервер не потребуется. Ещё не пробовал. Подробнее: 1-я страница http://linuxforum.ru/viewtopic.php?id=32224 и больше 2-я http://linuxforum.ru/viewtopic.php?id=32224&p=2 Пётр. --- ifmail v.2.15dev5.4 * Origin: Home (2:5020/400) К главной странице гейта

Powered by NoSFeRaTU`s FGHIGate
Открытие страницы: 0.056336 секунды