Toon posts:

[IPTABLES] De volgende opzet mogelijk of niet met iptables

Pagina: 1
Acties:
  • 126 views sinds 30-01-2008
  • Reageer

maandag 25 april 2005 22:24

Acties:

Verwijderd

Topicstarter
Om duidelijk te maken wat ik van plan ben op te zetten heb ik het allemaal even uitgetekend in visio:
Afbeeldingslocatie: http://145.99.247.2/Netwerk%20Thuis_thumb.jpg
Ik ben echt radeloos, om me heen zijn de meningen verschillend, sommige zeggen dat het mogelijk is, een aantal andere van niet.

Ik hoop dat er een aantal tweakers zijn die echt verstand hebben van IPTABLES en mij kunnen vertellen of dit haalbaar is ja of nee.
Dus niet meteen van nou met dit en dit programma kan het ook, gelieve eerst even kijken of dit haalbaar is. Mocht er iemand zijn die zoiets toevallig al werkend heeft, zou ik heeeeeel erg graag zijn iptables script willen, als dat mag natuurlijk :).

Ik ben al 2 maanden bezig om dit voor mekaar te krijgen, maar het lukt en lukt maar niet, nu wil ik het niet zo snel opgeven, dus bij deze een nood kreet om hulp.

[ Voor 4% gewijzigd door Verwijderd op 25-04-2005 22:26 ]

dinsdag 26 april 2005 10:47

Acties:

Verwijderd

In principe kan je zoiets met IPTABLES wel voor elkaar krijgen, echter, je hebt 1 probleem: je gebruikt aan beide kanten van je router 145.99.247.0/28 en dat snapt je router niet. Een router routeert tussen 2 subnetten en kan dus niet aan beide kanten hetzelfde subnet hebben.

dinsdag 26 april 2005 13:07

Acties:

Verwijderd

Topicstarter
Je doelt dan op het gedeelte router -> eth0 ? Want op het moment lukt het dus om al die IP adressen via DHCP aan eth0:0 t/m eth0:12 toe te kennen.
Heeft iemand toevallig een script wat iets gelijk soortig doet waarmee ik verder kan proberen?

dinsdag 26 april 2005 13:16

Acties:
  • dajappie
  • Registratie: Januari 2005
  • Laatst online: 12:00

dajappie

Misschien kan je het eens proberen met een "standaard" Linux-firewall-systeempje gebaseerd op Iptables zoals IPcop of SmoothWall (al weet ik niet zeker of de laatste op basis van Iptables is). Werkt meestal met een webbased configuratie waarop je kan aangeven wat er wel of niet moet kunnen. Via een shell dump je na configuratie de hele Ifconfig en Iptables-setup en kopieert die naar je eigen systeempje...

Overigens denk ik dat je in de problemen komt met die vaste en wireless verbindingen op hetzelfde subnet, dan moet je misschien iets van bridging hebben tussen die interfaces (klok/klepel kan er naast zitten). Waarom niet gewoon twee aparte subnetten en daartussen netjes routering regelen?

dinsdag 26 april 2005 13:28

Acties:

Verwijderd

Heb je IP masquerading al werkend? Daarna lijkt het mij een kwestie van met SNAT de het source address veranderen. ie.:

code:
1
2
3
4
5
6
7

#uitzonderingen: source addr op basis van oorspronkelijke source addr
iptables -t nat -A POSTROUTING -i eth1 -o eth0 -s 192.168.50.10 -j SNAT --to-source 156.99.247.3

#Alle overige traffic dat naar buiten gaat krijgt het juiste source addr
iptables -t nat -A POSTROUTING -i eth1 -o eth0 -j SNAT --to-source 156.99.247.12
iptables -t nat -A POSTROUTING -i eth2 -o eth0 -j SNAT --to-source 156.99.247.13
iptables -t nat -A POSTROUTING -i eth3 -o eth0 -j SNAT --to-source 156.99.247.14

dinsdag 26 april 2005 13:35

Acties:
  • asusk7m550
  • Registratie: Oktober 2000
  • Laatst online: 10:11

asusk7m550

Athlon 550@500

Hoever ben je zelf komen?

Volgens mij is die wel mogelijk met iptables.

Je kunt die 3 one-to-many NAT's doen door:

iptables -t nat -A POSTROUTING -i eth1 -o eth0:10 -j MASQUERADE
iptables -t nat -A POSTROUTING -i eth2 -o eth0:11 -j MASQUERADE
iptables -t nat -A POSTROUTING -i eth3 -o eth0:12 -j MASQUERADE

De andere one-to-one NAT kun je doen door:

iptables -t nat -A POSTROUTING -i eth1 --source 192.168.50.10 -o eth0:1 -j MASQUERADE

Ik weet het niet zeker of die werkt, want ik kan het hier niet testen.

Succes

It takes only a minute to get a crush on someone, an hour to like someone, and a day to love someone, but it takes a lifetime to forget someone.

dinsdag 26 april 2005 13:52

Acties:
  • Sendy
  • Registratie: September 2001
  • Niet online

Sendy

DrArcHeh en asusk7m550 >
Jullie weten dat het masquerade target in iptables wordt afgeraden voor situaties met statische ip's? (Nou ja DrArcHeh, jij gebruikt dat target niet, maar je noemt het nog wel zo ;) )

Maar verder, wat is je probleem nu, TS? Als je dit verhaal in stapjes implementeert (zorg dat ip's goed staan, maak de noodzakelijke routing goed, geef daarna de 3 subnetten NAT, maak daarna de uitzonderingen), zal het toch goed moeten gaan?

[ Voor 12% gewijzigd door Sendy op 26-04-2005 13:52 ]

dinsdag 26 april 2005 15:31

Acties:

Verwijderd

Verwijderd schreef op dinsdag 26 april 2005 @ 13:07:
Je doelt dan op het gedeelte router -> eth0 ? Want op het moment lukt het dus om al die IP adressen via DHCP aan eth0:0 t/m eth0:12 toe te kennen.
Heeft iemand toevallig een script wat iets gelijk soortig doet waarmee ik verder kan proberen?
Ik bedoel dat je router aan de buitenkant 145.99.247.1 lijkt te hebben in het plaatje en dus aan zowel binnen- als buitenkant een adres in 145.99.247.0/28 heeft. Maar, ik zie nu net dat je het plaatje op plaatje op dit moment al host op 145.99.247.2 en dat dus waarschijnlijk die .1 aan de binnenkant van de router zit en er een ander adres aan de buitenkant zit.

woensdag 27 april 2005 10:44

Acties:
  • asusk7m550
  • Registratie: Oktober 2000
  • Laatst online: 10:11

asusk7m550

Athlon 550@500

Sendy schreef op dinsdag 26 april 2005 @ 13:52:
DrArcHeh en asusk7m550 >
Jullie weten dat het masquerade target in iptables wordt afgeraden voor situaties met statische ip's? (Nou ja DrArcHeh, jij gebruikt dat target niet, maar je noemt het nog wel zo ;) )
Je bedoelt die laatste regel?
iptables -t nat -A POSTROUTING -i eth1 --source 192.168.50.10 -o eth0:1 -j MASQUERADE
Deze had ik er bijgezet voor de volledigheid, alleen zat ik later te denken dat je idd geen MASQUERADE moet gebruiken bij 1 op 1 nat.

Maar is de TS al verder gekomen?

It takes only a minute to get a crush on someone, an hour to like someone, and a day to love someone, but it takes a lifetime to forget someone.

woensdag 27 april 2005 12:09

Acties:

Verwijderd

Topicstarter
Ben gisteren avond even bezig geweest nog niet veel suc6 gehad, ga er vannavond nog ff tegen aan, hoop dat ik dan wat meer suc6 boek :) Ik ga iig de dingen die hierboven staan even proberen, zal jullie up2date houden, alvast onwijs bedankt voor de replies.

woensdag 27 april 2005 13:39

Acties:
  • pierre-oord
  • Registratie: April 2002
  • Laatst online: 12-04 14:05

pierre-oord

Als je nou eerst 1 kaartje laat werken; de rest laat je dan werken op precies dezelfde manier. 'Tis heel simpel, je doet gewoon 2x wat je anders 1x zou doen. Ik heb het thuis ook eens gedaan, en daarna nog dat de verschillende netwerken ook elkaar nog konden bereiken, zodat de pc als een switch ging werken.

Ondernemer in tech (oud LOQED.com, nu UpToMore.com)

Pagina: 1
Reageer