1

Поэтому я пытаюсь настроить окно BRO IDS с двойным домом, чтобы оно выполняло роль шлюза (?) сервер между моей домашней сетью и существующим роутером, который шел с широкополосным доступом. что у меня есть это ... (трубы представляют провод, извините за плохое форматирование)

Internet  
   |  
ADSL Router running DHCP  (gateway is 192.168.1.254)  
   |  
eth0 (192.168.1.1)  
ubuntu 1404 server running bro IDS, running bind9,   
it serves DHCP on 192.168.2.0 network only on eth1  
eth1 (192.168.2.1)  
   |  
Internal LAN running two Apple Airports in bridge mode

Я настроил все правильно, чувствую, но Ubuntu Server не маршрутизирует. Я могу SSH на нем и пинговать оба интерфейса с него, а также пинг в Интернете. Однако хосты в любой из локальных сетей не могут маршрутизировать на другую сторону сервера Ubuntu.

Вот вывод маршрутов -n

Kernel IP routing tableico /etc/network/interfaces
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         
192.168.1.254   0.0.0.0         UG    0      0        0 eth0
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.2.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1

а вот содержимое /etc/interfaces

auto lo
iface lo inet loopback
auto eth0
iface eth0 inet static
  address 192.168.1.1
  netmask 255.255.255.0
  gateway 192.168.1.254
  broadcast 192.168.1.255
 auto eth1   
 iface eth1 inet static  
  address 192.168.2.1  
  network 192.168.2.0  
  netmask 255.255.255.0  
  broadcast 192.168.2.255  
  gateway 192.168.1.254

Я включил ipv4 ipforwarding с помощью sysctl. DHCP-сервер Ubuntu настроен для обслуживания только 192.168.2.0 IP-адресов, и он работает хорошо. Есть еще один DHCP-маршрутизатор, обслуживающий eth0 (192.168.1.0), который я поддерживал, чтобы иметь возможность использовать Wi-Fi на широкополосном маршрутизаторе для просмотра веб-страниц во время работы с проблемой.

Но в любом случае мне так и не удалось пропинговать другую сторону окна Ubuntu после входа в обе стороны со статическими и динамически назначенными IP-адресами. может опубликовать содержимое dhcpd.conf тоже ...?

Я что-то упустил? Существуют ли какие-либо действия по устранению неполадок, которые я могу предпринять в окне Ubuntu, чтобы проверить проблему. В настоящее время я просто получаю сообщения «маршрут не найден / существует» ... Вот также подробности /etc/dhcpd.conf ...

ddns-update-style none;  
default-lease-time 600;  
max-lease-time 7200;  
authoritative;  
subnet 192.168.2.0 netmask 255.255.255.0 {  
range 192.168.2.2 192.168.2.240;  
option routers 192.168.1.254;  
option broadcast-address 192.168.2.255;  
option domain-name-servers 192.168.2.1, 8.8.8.8;  
}

Это вывод пинга через роутер 

Request timeout for icmp_seq 0  
Request timeout for icmp_seq 1  
Request timeout for icmp_seq 2

Кроме того, при настройке я изначально настроил его как мост, но эта конфигурация была удалена из интерфейсов давным-давно (она вообще не работала)

Как и требовалось, вот вывод из iptables -L

Цепной ВХОД (политика ПРИНЯТЬ)
целевой целевой источник назначения

Сеть FORWARD (политика ПРИНЯТЬ)
целевой целевой источник назначения

Цепной ВЫХОД (политика ПРИНЯТЬ)
целевой целевой источник назначения

|источник

2 ответа2

1

Есть несколько вещей, которые не кажутся ясными, по крайней мере, мне с первого взгляда.

  1. Следующая строка в /etc/dhcpd.conf, безусловно, неверна:

    дополнительные маршрутизаторы 192.168.1.254;

так должно быть 

  option routers 192.168.2.1

В настоящее время вы в основном говорите своим клиентам DHCP, что их шлюз по умолчанию находится в другой подсети, чем их: как вы ожидаете, что они смогут достичь указанного шлюза? Правильный адрес шлюза, который вы передаете клиентам, - это интерфейс локальной сети маршрутизатора.

  1. Когда вы говорите, что не можете пропинговать с клиентов DHCP, пробовали ли вы с именем (например, www.google.com) или с IP (например, 8.8.8.8)? Это имеет значение, потому что вы ничего не сказали о разрешении DNS, так что может случиться так, что

    ping -c1 8.8.8.8

получает ответ, пока 

   ping -c1 www.google.com

не. В этом случае вам не хватает только двух следующих строк в /etc/resolv.conf:

  nameserver 8.8.8.8
  nameserver 8.8.4.4

Если это не так, пожалуйста, читайте дальше.

  1. То, что вы говорите о iptables , не полностью согласовано, потому что вы утверждаете, что добавили правило для NATting в iptables, но затем отображаете существующее правило iptables для таблицы фильтров , а не для таблицы nat . Поэтому, пожалуйста, введите следующую команду

    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

и затем, без перезагрузки, попробуйте выполнить те же команды ping, что и выше.

Если все это не помогло, пожалуйста, откройте два терминала на машине с Ubuntu и введите следующие два запятой: в терминале 1,

  tcpdump -i eth0 -n icmp

и в терминале 2 

  tcpdump -i eth1 -n icmp

затем перейдите к одному из клиентов DHCP и попробуйте одну из приведенных выше команд ping . Если все работает, вы должны увидеть, как ping и его ответ летят через оба терминала. Если вы этого не сделаете, пожалуйста, вставьте вывод для следующего раунда помощи.

|источник
0

Ваш роутер Ubuntu работает нормально. Это не проблема. Проблема в том, что ваша конфигурация не может работать, потому что маршрутизатор ADSL не знает, как получить доступ к машинам в сети 192.168.2.x. Кроме того, ни одно устройство не настроено на выполнение NAT для сети 192.168.2.x. Так что ваша конфигурация просто не имеет смысла.

Так, например, скажем, 192.168.2.9 пингует 8.8.8.8 . Сервер Ubuntu отлично справляется с маршрутом по умолчанию. Но затем маршрутизатор ADSL получает пакет от 192.168.2.9 до 8.8.8.8 на своем интерфейсе локальной сети и не знает, что с ним делать.

Обновление: чтобы увидеть только одну проблему, рассмотрите таблицу маршрутизации на маршрутизаторе ADSL. Единственный локальный маршрут - 192.168.1.0/24 к локальной сети. Любой другой маршрут идет по ссылке к вашему провайдеру. Поэтому, когда он обрабатывает пакет в 192.168.2.1, его таблица маршрутизации говорит, что нужно отправить этот пакет в Интернет. Это явно не сработает.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .