Zdravím,
keďže sa učím, potreboval by som poradiť, kde robím chybu pri stavbe smerovača:
od poskytovateľa dostávam pripojenie na internet, je to pripojené tak že do vnútra mám privátnu adresu 192.168.2.x
Do počítača s Fedora mám vložené dve sieťové karty kde
ifconfig eth0 192.168.1.1/24 je vnútorná karta
cat /proc/sys/net/ipv4/ip_forward - je odpoveď 1
route add default gw 192.168.1.1
počítač vo vnútri má adresu 192.168.1.5
dns mám nastavené na openDNS
nastavím preklad adries
iptables -A POSTROUTING -t nat -o eth0 -j MASQUERADE
nie je to funkčné, kde robím chybu? Vďaka za radu
arp -n mi vypíše aj ten počítač vo vnútornej sieti
Pevne verím, že default gw 192.168.1.1 je na stroji s IP 192.168.1.5 schovanom za fedora routrom a nie na samotnom fedora routri. Podľa akého postupu to nastavuješ?
dík za odpoveď
už si nepamätám z ktorého článku, článkov to mám, ale je to asi z abclinuxu.cz, kedysi som to urobil aj to chodilo, lenže čas je akosi neúprosný
Na fedora routri je 192.168.2.1, tam je preklep
Tak si ten článok otvor ešte raz, a nerob to po pamäti. Čas je neúprosný.
ten článok je na root.cz, je to "Linux jako internetová gateway", bohužiaľ aj tak mám problém a neviem to rozbehať.
To je vcelku dobrý a rozsiahly seriál.
Ale, vieš povedať do akej miery sa vidia tie dva Tvoje stroje, dokážeš z routra pingnúť ten počítač vnútri a z toho počítača zas Tvoj router? Lebo popis "nie je to funkčné, kde robím chybu?" je trošku vágny.
ping je funkčný na obe strany
mám spustenú službu telnet aj ssh - v oboch počítačoch, ale tu už je problém
Takže ping (icmp) prelezie, ale služby (tcp) sa nespoja. Skontroluj firewal či si ho nepriškrtil nejako moc.
nemám to obmedzené, aj som to preinštaloval (myslím čistú inštaláciu Fedora), skúsil som vytvoriť rc local, proste neviem, lebo toto isté na slack je funkčné
vo Fedora:
touch /etc/rc.d/rc.local
chmod a+x /etc/rc.d/rc.local
Aha, možno tomu Tvojmu neúplnému popisu začínam chápať. Podľa návodu si vytvoril prázdny súbor a dal si mu právo na spustenie. Po reboote ten firewall nefungoval.
To, že po reboote to nefungovalo je pochopiteľné. Fedora opustila openrc, takže rc.local Ti je na nič. A to aj v prípade ak by si čírou náhodou doň dal potrebné príkazy. Štýlom doslovne zopakujem všetky príkazy z príručky sa nič nenaučíš. Prirovnám to napríklad k záhradkarčeniu. V príručke na pestovanie jahôd písali že sa sadia do hriadok. Ale ja mám na balkóne závesný kvetináč s návodom a ťahavé jahody. Nejde mi to zasadiť.
Skús si prečítať kapitolu z daného návodu a porozmýšľať o čom sa tam pojednáva. Skús identifikovať príkazy ktoré vykonávajú samotné nastavenie routra a firewallu, a tie spusti ručne. Otestuj to, či to funguje. A potom skús identifikovať kam máš dať danú konfiguráciu. Niečo by malo byť v sysctl, niečo v iptables a tak.
PS: slackware s openrc = hriadky, závesný kvetináč = fedora s systemd, jahody = router.
ak som správne pochopil, tak je-mám problém s adresárovou štruktúrou
Tak to si pochopil zle. Adresárová štruktúra nesúvisí s nastavením routera.
Ahoj Tomy.
nauč sa konfigurovať Tvoje NICs:
Interface Configuration Files
Configuring Static Routes
Network Interfaces
vďaka, toto mi pomôže/pomohlo
Urobil som to, ale samozrejme, keďže to má byť smerovač/brána, mal by prekladať:
ale
netstat -aM
no support for ip_masquerade on this system
čo mi chýba?
na nete je toho viac k tejto téme, ale akosi sa neviem dopracovať k výsledku
Čo si matne spomínam z čias keď som si prepájal PDA s počítačom pomocou virtuálnej sieťovky na USB, tak malo stačiť zapnúť NAT a v ňom MASQUERADE v IPTABLES, zapnúť IP Forwarding, nastaviť IP pre LAN a poprípade naň zavesiť DHCP server. V prípade že toto rozchodíš cez terminál, tak už nie je problém dať upraviť (uložiť) konfiguráciu tak, aby sa automaticky načítala pri štarte systému.
základné spojazdnenie a komunikácia medzi strojmi je ok, tej rozumiem. Na tom stroji grafické nie je - inštaloval som to ako "infrastructure server" s vlastným delením diskov - root, home var swap.
problémy mám tu - http://ebtables.sourceforge.net/examples/basic.html
Výborne. Takže si našiel návod ktorý kombinuje vyše 10 rokov zastaraný nástroj ifconfig s nástrojom ebtables ktorý by mal v budúcnosti nahradiť momentálne používaný nástroj iptables ak dosiahne jeho kvalít. Len mi nie sú jasné dve veci. Kde je v tom návode príkaz " netstat -aM" ktorý Ti nefungoval keďže chytá časť jadra ktorá bola už asi odstránená? A čo s touto otázkou sledueš, chceš si len spojazdniť router čo žerie viac ako 10 krát elektriny oproti krabičke alebo sa to chceš naučiť? Ak sa to chceš naučiť, tak skús napísať kam si sa dostal, a s akým výsledkom.
až potiaľ, že s týmto "routrom" spojenie majú počítače za ním cez ssh (používam putty vo win), ale k netu sa nedostanú, tento "router"má však prístup k netu, funguje pridelenie adries, Zatiaľ riešim toto, potom prídu na rad ďalšie veci
Takže už funguje nielen ICMP, ale aj TCP vrstva. Vidím, že preskakuješ návody a skúšaš že ktorý návod perfektne sadne. Týmto štýlom sa to ale nenaučíš. Skús sa na to pozrieť z nadhľadu, a rozdeliť to do viacerých krokov. Tak ako som písal. A k nim skús povedať či Ti prešli. Predpokladám, že napríklad tým systemctl si sa nezaoberal, i keď je na túto vec potrebný.
aj keby ešte sieťová vrstva
sysctl -p /etc/sysctl.conf - povolím zmeny, smerovanie v tejto inštalácii je defaultne "1"
ale preklad nejde - ip adresa v prehliadači však ano, otvorí web stránku
Podla tohto to vyzera, ze ti nefunguje sluzba DNS na windows masinach.
Trošku poopravím. Služba DHCP má bežať na routri (Fedora) ktorá by mala tým pádom poskytovať automatickú sieťovú konfiguráciu pre klientské stroje ktoré sú za ňou schované (192.168.1.*). A mala by poskytovať aj informáciu o DNS servrch ktoré majú používať. Ak DHCP nebeží, a stroje vnútri čo sú schované za routrom (Fedora) majú ručne nastavené IP adresy aj s default route, tak im je jtreba ručne pridať aj nastavenie DNS servrov. Ale, načo to obehávať keď je od toho DHCP. Že?
Pouzil by som tcpdump na zistenie paketov, ktore mi cez router chodia/nechodia. Na windows masine "za routerom" spusti trebars ping alebo telnet na adresu 1.2.3.4 a zaroven na routeri sleduj prenos paketov na oboch rozhraniach - LAN aj WAN. Tak zistis, kde to zavisne.
Uz som to davno nerobil, tak mozno zbytocne upozornujem, ale overil by som si, ci tebou pouzivane jadro linuxu ma skompilovanu alebo ako modul dostupnu podporu na forwarding/masquerading. A nasledne ako WlaSaTy pise povolit tieto funkcie cez sysctl (/usr/src/linux/Documentation/networking/)
Na zaver to, co bolo treba urobit ako prve. Najdi si navod, ktory plati pre tvoj system (verziu systemu). Stary navod platil v dobe, ked bol vytvoreny. Dnes uz platit nemusi.
bolo nutné doplniť:
yum install iptables-services
systemctl enable iptables.service
systemctl start iptables.service