Вопросы Теги

Как установить статический маршрут для внешнего IP-адреса

Я настроил бы регистратора для использования веб-хостинга серверы DNS, затем обновил бы записи только на стороне веб-хостинга. Намного легче поддержать.

4
задан 24 September 2012 в 02:13
2 ответа

То, что вы пытаетесь сделать, вполне возможно и действительно довольно часто используется. У вас уже есть большая часть настроек. Возможно, вам не хватает правила «ПРИНЯТЬ» на «новый маршрутизатор» , разрешающего потоки трафика от eth1 к eth1 . Просто добавьте его, используя 

iptables -I FORWARD -i eth1 -o eth1 -s 129.2.2.0/25 -j ACCEPT
iptables -I FORWARD -i eth1 -o eth1 -d 129.2.2.0/25 -j ACCEPT

. Он должен быть достаточно безопасным, чтобы не обходить какие-либо правила и меры безопасности, и в то же время быть достаточно общим, чтобы разрешить использование любых клиентов и протоколов вашей сети. После того, как вы закончите настройку и устранение неполадок, вы можете ограничить правило протоколами и местами назначения, которые вы собираетесь использовать: 

iptables -I FORWARD -i eth1 -o eth1 -s 129.2.2.0/25 -d 192.111.222.111 -p icmp -j ACCEPT
iptables -I FORWARD -i eth1 -o eth1 -d 129.2.2.0/25 -s 192.111.222.111 -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -I FORWARD -i eth1 -o eth1 -s 129.2.2.0/25 -d 192.111.222.111 -p tcp --dport 8080 -j ACCEPT
iptables -I FORWARD -i eth1 -o eth1 -d 129.2.2.0/25 -s 192.111.222.111 -p tcp --sport 8080 ! --syn -j ACCEPT

Обратите внимание, что в типичном случае вы вряд ли увидите какой-либо поток трафика через "новый маршрутизатор " для 192.111.222.111. Linux с радостью выдаст сообщения перенаправления ICMP , информирующие хосты вашей подсети об использовании «старого маршрутизатора» для трафика на 192.111.222.111 при первом появлении пакета. И большинство хостов последуют (при условии, что они получили сообщение - т.е. оно нигде не было отфильтровано) и отправят все последующие пакеты на адрес 192.111.222.111 напрямую через "старый маршрутизатор" .

4
ответ дан 3 December 2019 в 03:19

Если вы выполняете маршрутизацию на конкретный хост, я не думаю, что использование сетевой маски является правильным. Указание 0.0.0.0 будет означать шлюз по умолчанию для всего трафика, поскольку эта маска будет соответствовать ВСЕМ IPv4 IP.

Фактически, полный 255.255.255.255 необходим для правила сопоставления одного хоста.

И, возможно, это так. очевидно, но вы должны указать шлюз, который находится в сети с прямым подключением, охватываемой вашей существующей таблицей маршрутизации.

При работе с iptables и маршрутизацией я бы предложил настроить правило LOG для отправки отброшенных пакетов в журнал. Это сообщит вам, отбрасываете ли вы пакеты, которые могут показаться проблемой маршрутизации.

Это устанавливает цепочку LOGDROP. 

-A LOGDROP -j LOG --log-prefix "LOGDROP "
-A LOGDROP -j DROP

А затем в конце различных цепочек, которые вы хотите зарегистрировать, вы переходите к Цепочка LOGDROP в конце: 

-A INPUT -j LOGDROP

Вместо того, чтобы просто отбрасывать пакеты.

1
ответ дан 3 December 2019 в 03:19

Теги

Похожие вопросы