/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
iptables og to internet forbindelser
Fra : Jacob d'Andrade


Dato : 22-05-07 22:21

Hej Ng

Er noget i tvivl om det er her eller netværks gruppen...

Sidder og bikser med at få en linuxbox til at klare to forbindelser, den ene
er en cybercity som er bag en zyxel router, og den anden linie er en
kollegie linie hvor man har hul direkte ud lidt ala tdc med blot et modem...

Jeg vil gerne at jeg selv kun bruger cybercity forbindelsen, mens folk der
skal tilgå ftp, mail, hjemmesider m.m kommer ind via den anden forbindelse
da port forwarding funker af helvede til i cc routeren...

Jeg har så sat begge linier til hvert sit netkort, og sørget for at den
eneste gateway der er på linuxbox'en peger mod cc routeren, og derved er den
blot "på" kollegienettet... jeg får ip automatisk derfra, men jeg får jo et
problem lige så snart der kommer trafik ude fra kollegienettet og til min
boks, da den jo vil sende det retur af default gateway'en som peger mod
cc...

Er der nogen måde hvorpå den kan sende det retur af kollegieforbindelsen,
istedet for cc? hvis jeg sætter noget metric halløj på cc og beholder begge
gateways vil den vel stadig benytte cc eller hvad ?

Mvh Jacob



 
 
Kasper Lund (23-05-2007)
Kommentar
Fra : Kasper Lund


Dato : 23-05-07 04:08

On Tue, 22 May 2007 23:21:14 +0200, Jacob d'Andrade wrote:

> Er der nogen måde hvorpå den kan sende det retur af kollegieforbindelsen,
> istedet for cc? hvis jeg sætter noget metric halløj på cc og beholder begge
> gateways vil den vel stadig benytte cc eller hvad ?

Jeg vil tro du skal se på statiske routninger, "man route"

Du kan lave dem enten på firewallen, eller direkte på din ftp/mail/web
server.

Asbjorn Hojmark (23-05-2007)
Kommentar
Fra : Asbjorn Hojmark


Dato : 23-05-07 14:54

On 23 May 2007 03:08:24 GMT, Kasper Lund <kasper@usenet.dk> wrote:

>> Er der nogen måde hvorpå den kan sende det retur af kollegieforbindelsen,
>> istedet for cc? hvis jeg sætter noget metric halløj på cc og beholder begge
>> gateways vil den vel stadig benytte cc eller hvad ?

> Jeg vil tro du skal se på statiske routninger, "man route"

Nej, det er ikke godt nok.

En statisk route peger på et specifikt netværk, der så altid nås den
vej, men her ønsker OP at sende svaret retur ad den vej requestet er
kommet ind, eller at sende svaret ud baseret på protokollen.

Det sidste kan (i generelle termer) laves med policy-based routing,
hvor man ser på source-porten (der så selvfølgelig skal være den
oprindelige destinations-port, som fx 21/tcp), men det har ulemper
ifm. server-initieret trafik.

Det første kan man i nogle firewalls, men jeg kender ikke iptables til
at vide, hvordan man gør det i den.

-A
--
Hvis du bruger et anti-spam program, der spammer os andre i hvert
eneste indlæg, ser jeg ikke dine indlæg. Jeg filtrerer dem bort.

Kent Friis (23-05-2007)
Kommentar
Fra : Kent Friis


Dato : 23-05-07 16:23

Den Tue, 22 May 2007 23:21:14 +0200 skrev Jacob d'Andrade:
> Hej Ng
>
> Er noget i tvivl om det er her eller netværks gruppen...
>
> Sidder og bikser med at få en linuxbox til at klare to forbindelser, den ene
> er en cybercity som er bag en zyxel router, og den anden linie er en
> kollegie linie hvor man har hul direkte ud lidt ala tdc med blot et modem...
>
> Jeg vil gerne at jeg selv kun bruger cybercity forbindelsen, mens folk der
> skal tilgå ftp, mail, hjemmesider m.m kommer ind via den anden forbindelse
> da port forwarding funker af helvede til i cc routeren...

Er "jeg selv" og "ftp, mail, hemmesider m.m." begge Linux-boksen, eller
hvordan?

Hvis du kan se forskel på IP-nummer, bør det kunne klares med
policy routing på grundlag af source IP.

Hvis begge dele er samme maskine, er du ude i noget med CONNMARK på
--state NEW i OUTPUT table, og policy routing på grundlag af mark
værdien, men så kan du godt reservere et par dage til manual-læsning.
(Jeg har ikke prøvet, og kan ikke fortælle dig præcis hvad du skal
gøre, men i teorien burde det kunne gøres noget i den retning).

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

Jacob d'Andrade (24-05-2007)
Kommentar
Fra : Jacob d'Andrade


Dato : 24-05-07 08:32

"Kent Friis" <nospam@nospam.invalid> skrev i en meddelelse
news:46545c3f$0$90264$14726298@news.sunsite.dk...
> Den Tue, 22 May 2007 23:21:14 +0200 skrev Jacob d'Andrade:

> Er "jeg selv" og "ftp, mail, hemmesider m.m." begge Linux-boksen, eller
> hvordan?
>
> Hvis du kan se forskel på IP-nummer, bør det kunne klares med
> policy routing på grundlag af source IP.
>

Mange tak for alle jeres svar ...

Der er een box... een linux kasse der er firewall, ftp, mail og webserver,
denne har 3 netkort, et til cc, et til kollegienet og et til LAN.

Mvh Jacob



Kent Friis (24-05-2007)
Kommentar
Fra : Kent Friis


Dato : 24-05-07 15:35

Den Thu, 24 May 2007 09:32:03 +0200 skrev Jacob d'Andrade:
> "Kent Friis" <nospam@nospam.invalid> skrev i en meddelelse
> news:46545c3f$0$90264$14726298@news.sunsite.dk...
>> Den Tue, 22 May 2007 23:21:14 +0200 skrev Jacob d'Andrade:
>
>> Er "jeg selv" og "ftp, mail, hemmesider m.m." begge Linux-boksen, eller
>> hvordan?
>>
>> Hvis du kan se forskel på IP-nummer, bør det kunne klares med
>> policy routing på grundlag af source IP.
>>
>
> Mange tak for alle jeres svar ...
>
> Der er een box... een linux kasse der er firewall, ftp, mail og webserver,

Du glemte lige den sidste - "jeg selv". Sidder du også ved linux-kassen,
eller er det fx en Windows-maskine du ønsker at route anderledes end
serveren?

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

Jacob d'Andrade (24-05-2007)
Kommentar
Fra : Jacob d'Andrade


Dato : 24-05-07 17:16


"Kent Friis" <nospam@nospam.invalid> skrev i en meddelelse
news:4655a2a2$0$90272$14726298@news.sunsite.dk...
>
> Du glemte lige den sidste - "jeg selv". Sidder du også ved linux-kassen,
> eller er det fx en Windows-maskine du ønsker at route anderledes end
> serveren?
>

Ahh ... sorry.. Jeg sidder på LAN'et med en windows dåse ja... Og den bør
bare skulle blive routet ud af cc internettet da det er den hurtigste mht
til download...

Mvh Jacob



Kent Friis (24-05-2007)
Kommentar
Fra : Kent Friis


Dato : 24-05-07 18:21

Den Thu, 24 May 2007 18:16:19 +0200 skrev Jacob d'Andrade:
>
> "Kent Friis" <nospam@nospam.invalid> skrev i en meddelelse
> news:4655a2a2$0$90272$14726298@news.sunsite.dk...
>>
>> Du glemte lige den sidste - "jeg selv". Sidder du også ved linux-kassen,
>> eller er det fx en Windows-maskine du ønsker at route anderledes end
>> serveren?
>>
>
> Ahh ... sorry.. Jeg sidder på LAN'et med en windows dåse ja... Og den bør
> bare skulle blive routet ud af cc internettet da det er den hurtigste mht
> til download...

Jamen så kan du jo lave policy routing, med alt trafik der har
source IP = Windows maskinen skal ud på CC interfacet, og alt
andet på det andet net.

Det er en meget nemmere løsning end at skulle involvere iptables.

Prøv noget i denne retning:

ip route add table 1 default via <CC-router IP>
ip rule add from <Windows-maskine IP> table 1

"table 1" er så den routing-tabel der gælder for Windows-maskinen.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

Jacob d'Andrade (24-05-2007)
Kommentar
Fra : Jacob d'Andrade


Dato : 24-05-07 19:50

"Kent Friis" <nospam@nospam.invalid> skrev i en meddelelse
news:4655c966$0$90276$14726298@news.sunsite.dk...
> Den Thu, 24 May 2007 18:16:19 +0200 skrev Jacob d'Andrade:
>>
>> "Kent Friis" <nospam@nospam.invalid> skrev i en meddelelse
>> news:4655a2a2$0$90272$14726298@news.sunsite.dk...
>>>
>>> Du glemte lige den sidste - "jeg selv". Sidder du også ved linux-kassen,
>>> eller er det fx en Windows-maskine du ønsker at route anderledes end
>>> serveren?
>>>
>>
>> Ahh ... sorry.. Jeg sidder på LAN'et med en windows dåse ja... Og den bør
>> bare skulle blive routet ud af cc internettet da det er den hurtigste mht
>> til download...
>
> Jamen så kan du jo lave policy routing, med alt trafik der har
> source IP = Windows maskinen skal ud på CC interfacet, og alt
> andet på det andet net.
>
> Det er en meget nemmere løsning end at skulle involvere iptables.
>
> Prøv noget i denne retning:
>
> ip route add table 1 default via <CC-router IP>
> ip rule add from <Windows-maskine IP> table 1
>
> "table 1" er så den routing-tabel der gælder for Windows-maskinen.
>

Tusind tak, det vil jeg straks prøve

Mvh Jacob



Kasper Lund (23-05-2007)
Kommentar
Fra : Kasper Lund


Dato : 23-05-07 18:43

On Wed, 23 May 2007 15:53:31 +0200, Asbjorn Hojmark wrote:

>
> Nej, det er ikke godt nok.
>
> En statisk route peger på et specifikt netværk, der så altid nås den
> vej, men her ønsker OP at sende svaret retur ad den vej requestet er
> kommet ind, eller at sende svaret ud baseret på protokollen.

OK, man kan ikke gøre det på firewall boksen, men så vidt jeg ved kan man
sagtens lave det på serveren.

Altså at man angiver en given gateway baseret på hvilket net klienten
kommer fra.

Asbjorn Hojmark (23-05-2007)
Kommentar
Fra : Asbjorn Hojmark


Dato : 23-05-07 21:06

On 23 May 2007 17:43:05 GMT, Kasper Lund <kasper@usenet.dk> wrote:

>> En statisk route peger på et specifikt netværk, der så altid nås den
>> vej, men her ønsker OP at sende svaret retur ad den vej requestet er
>> kommet ind, eller at sende svaret ud baseret på protokollen.

> OK, man kan ikke gøre det på firewall boksen, men så vidt jeg ved kan
> man sagtens lave det på serveren.

Som jeg læste spørgsmålet, var der kun én box.

Men hvis der faktisk er (mindst) to maskiner, hvoraf den ene er er
firewall og den anden en server, så vil man normalt placere serveren
bag firewallen, og så vil serverens default gateway være firewallen,
hvorved man er tilbage til, at man skal lave det hele på firewallen.

> Altså at man angiver en given gateway baseret på hvilket net klienten
> kommer fra.

Så forudsætter du, at server og firewall sidder ved siden af hinanden,
sådan at serveren kan have én default gateway og firewallen en anden.
Det kunne man godt, men så er der jo ingen firewall-beskyttelse af
serveren.

-A
--
Hvis du bruger et anti-spam program, der spammer os andre i hvert
eneste indlæg, ser jeg ikke dine indlæg. Jeg filtrerer dem bort.

Kasper Lund (24-05-2007)
Kommentar
Fra : Kasper Lund


Dato : 24-05-07 05:50

On Wed, 23 May 2007 22:05:41 +0200, Asbjorn Hojmark wrote:

> On 23 May 2007 17:43:05 GMT, Kasper Lund <kasper@usenet.dk> wrote:
>
>>> En statisk route peger på et specifikt netværk, der så altid nås den
>>> vej, men her ønsker OP at sende svaret retur ad den vej requestet er
>>> kommet ind, eller at sende svaret ud baseret på protokollen.
>
>> OK, man kan ikke gøre det på firewall boksen, men så vidt jeg ved kan
>> man sagtens lave det på serveren.
>
> Som jeg læste spørgsmålet, var der kun én box.
>
> Men hvis der faktisk er (mindst) to maskiner, hvoraf den ene er er
> firewall og den anden en server, så vil man normalt placere serveren
> bag firewallen, og så vil serverens default gateway være firewallen,
> hvorved man er tilbage til, at man skal lave det hele på firewallen.

Hmm, jeg har før lavet eet setup hvor vi havde en 2 firewalls (en firewall
beregnet til internet surfing mails osv, og en VPN boks) der var VPN
brugerne også nødt til at komme ud den vej de var kommet ind, selvom
serverens default gateway var den anden firewall. Det klarede vi med
statiske routninger. (Godt nok på en windows boks, men mon ikke unix kan
det samme)

Asbjorn Hojmark (24-05-2007)
Kommentar
Fra : Asbjorn Hojmark


Dato : 24-05-07 22:18

On 24 May 2007 04:50:19 GMT, Kasper Lund <kasper@usenet.dk> wrote:

>> Som jeg læste spørgsmålet, var der kun én box.
>>
>> Men hvis der faktisk er (mindst) to maskiner, hvoraf den ene er er
>> firewall og den anden en server, så vil man normalt placere serveren
>> bag firewallen, og så vil serverens default gateway være firewallen,
>> hvorved man er tilbage til, at man skal lave det hele på firewallen.

> Hmm, jeg har før lavet eet setup hvor vi havde en 2 firewalls (en
> firewall beregnet til internet surfing mails osv, og en VPN boks)

I så ville være spørgeren oppe på mindst fire forskellige maskiner,
nemlig de to firewalls og de to indvendinge maskiner, der så havde
hver sin default gateway. Med al respekt tror jeg, du har misforstået
spørgsmålet.

-A
--
Hvis du bruger et anti-spam program, der spammer os andre i hvert
eneste indlæg, ser jeg ikke dine indlæg. Jeg filtrerer dem bort.

fix (05-06-2007)
Kommentar
Fra : fix


Dato : 05-06-07 12:24


"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> skrev i en meddelelse
news:950c535cbbl5qvac2u23douovhe2pjtu28@hojmark.net...
> On 24 May 2007 04:50:19 GMT, Kasper Lund <kasper@usenet.dk> wrote:
......
>> Hmm, jeg har før lavet eet setup hvor vi havde en 2 firewalls (en
>> firewall beregnet til internet surfing mails osv, og en VPN boks)
>
> I så ville være spørgeren oppe på mindst fire forskellige maskiner,
> nemlig de to firewalls og de to indvendinge maskiner, der så havde
> hver sin default gateway. Med al respekt tror jeg, du har misforstået
> spørgsmålet.
>
Til en afveksling (!!!!! tror jeg Asbjørn har ret
Jeg har i en opsætning kommet om problemet ved at "den indgående" havde sit
eget net, og serveren (SUNunix) et netkort til hvert net. Default gateway
som den på det udgående, og konfigureret med "no-routing"

Det virker faktisk. Serveren kan acesses fra begge kort, og diverse apps.
svarer det kort som bliver accessed. Jeg mener ikke der var konfigureret
nogen statisk route.

finn



Christian E. Lysel (24-05-2007)
Kommentar
Fra : Christian E. Lysel


Dato : 24-05-07 18:11

On Wed, 2007-05-23 at 15:53 +0200, Asbjorn Hojmark wrote:
> Det første kan man i nogle firewalls, men jeg kender ikke iptables til
> at vide, hvordan man gør det i den.

"man ip", se "afsnittet ip rule - routing policy database management"




Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408926
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste