Linux router + KVM
Martin Tiršel
lk na blackpage.eu
Pondělí Únor 21 15:13:00 CET 2011
On Mon, 21 Feb 2011 14:22:50 +0100, Jan Houstek <Jan na houstek.net> wrote:
> [...]
>
> Obsah /etc/network/interfaces jsem opravdu psal od boku, pro jistotu
> konzultujte dokumentaci.
>
Toto je ok
> Neznám do detailu startup skripty Debianu, ale sysctl nastavení bych
> snažil místo echo > /proc/sys/... dávat do /etc/sysctl.conf.
>
Jj, to mi je jasne, umiestnenie teraz nieje dolezite, najprv to potrebujem
spojazdnit, potom za sebou poupratujem :)
>> iptables -t nat -A POSTROUTING -o br0 -j MASQUERADE
>
> Maškarádovací pravidlo je vhodnější napsat specificky pouze pro routovaný
> provoz (tj. např. pomocí -s 192.168.1.0/24), takto do něj zbytečně padá i
> vlastní provoz routeru a také všelijaký bordel s podvrženou source
> adresou
> apod.
>
ok, vdaka za info
> A z routeru na internet vše funguje? Všechny interfacy jsou up (ip link
> show)? Zkoušel jste koukat tcpdumpem na routeru na br0 a br1 (případně i
> eth0 a eth1)?
>
> Jinak ta konfigurace vypadá v pořádku.
>
> -- HH
Ano, vsetko je okrem lokal<->net v poriadku. Teraz som dal logovat
iptables, ked z lokalu dam ping na branu za tymto serverom, tak to vyzera
nasledovne:
Feb 21 14:31:28 mrs mangle:prerouting IN=br1 OUT=
MAC=00:1f:c6:83:4a:d7:00:22:15:d9:8b:d9:08:00 SRC=192.168.1.201
DST=1.2.3.1 LEN=84 TOS=00 PREC=0x00 TTL=64 ID=0 DF PROTO=ICMP TYPE=8
CODE=0 ID=2061 SEQ=9
Feb 21 14:31:28 mrs mangle:forward IN=br1 OUT=br0
MAC=00:1f:c6:83:4a:d7:00:22:15:d9:8b:d9:08:00 SRC=192.168.1.201
DST=1.2.3.1 LEN=84 TOS=00 PREC=0x00 TTL=63 ID=0 DF PROTO=ICMP TYPE=8
CODE=0 ID=2061 SEQ=9
Feb 21 14:31:28 mrs filter:forward IN=br1 OUT=br0
MAC=00:1f:c6:83:4a:d7:00:22:15:d9:8b:d9:08:00 SRC=192.168.1.201
DST=1.2.3.1 LEN=84 TOS=00 PREC=0x00 TTL=63 ID=0 DF PROTO=ICMP TYPE=8
CODE=0 ID=2061 SEQ=9
Feb 21 14:31:28 mrs mangle:postrouting IN= OUT=br0 MAC= SRC=192.168.1.201
DST=1.2.3.1 LEN=84 TOS=00 PREC=0x00 TTL=63 ID=0 DF PROTO=ICMP TYPE=8
CODE=0 ID=2061 SEQ=9
Takze to vyzera, ze by to na br0 malo ist a problem bude niekde tu. Skusim
este ten tcpdump.
--
S pozdravom,
Martin Tiršel
Další informace o konferenci Linux