DHCP config (Bridge)

Hálózatok egyéb

Sziasztok!

Következő lenne a problémáma, utánna olvasás után sem tudtam igazán megoldani :(
jelenlegi hálózat felépítés:

DSL modem -> router -> (eth0) server -> (eth1) switch1 -> gépek
-> (eth2) switch2 -> gépek

Jelenleg ugye a PPPoE csatlakozást a router végzi el, a serverrel pedig
akarom a DHCP kiosztást.
Ugye hardvert tekintve, a Serverben 3db hálókártya van:
eth0 -> bejön a routerből a kábel
eth1 -> kimenet switch1-be
eth2 -> kimenet switch2-be

A probléma, hogy eth0-án jön a net, serveren van net, vegyünk most
csak egy esetet, így eth1-en megy szépen a DHCP kiosztás!!
viszont a gépeken nem megy a net. (gondolom a probléma, hogy az eth0 és
az eth1, illetve eth0 és eth2 között hidat kell építeni?!)

jelen configurálás:

/etc/network/interface

auto eth0
iface eth0 inet dhcp

auto eth1
iface eth1 inet static
address 192.168.1.10
netmask 255.255.255.0
gateway 192.168.1.5

Az eth0 a router DHCP-jétől automatikusan a következőke kapja:
address 192.168.1.5
netmask 255.255.255.0
gateway 192.168.1.1 (router belső IP-je)

a következő config fájl:
/etc/resolv.conf

nameserver 84.2.44.1
nameserver 84.2.46.1

A dhcp configja
/etc/dhcp3/dhcpd.conf

option domain-name-servers 192.168.1.5;
default-lease-time 600;
max-lease-time 7200;
option boradcast-address 192.168.1.255;
option routers 192.168.1.254;

subnet 192.168.1.0 netmask 255.255.255.0{
range 192.168.1.20 192.168.1.50;
}

/etc/default/dhcp3-server configja:
INTERFACES="eth1"

  • 2765 megtekintés

( informer v | 2009. 01. 08., cs – 15:33 )

nem
a PPoE cliens csatlakozáskor felhuz egy PPPx interface-t. mondjuk ppp0.
Na arra kell NAT
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

szerk.: áááá nem olvastam végig! :-] nem ez, na mindjárt

szerk.2: namost akkor miért nem úgy csináltad, van router megy aswitch-be aztán mindenki abba a switch-be megy?

OK,

jelenleg a configom így néz ki:
I.
/etc/network/interfaces

auto lo
iface lo inet loopback

auto dsl-provider
iface dsl-provider inet ppp
pre-up /sbin/ifconfig eth0 up # line maintained by pppoeconf
provider dsl-provider

auto eth1
iface eth1 inet static
address 192.168.1.1
netmask 255.255.255.0
broadcast 192.168.1.255
network 192.168.1.0

II.
/etc/hosts

127.0.0.1 localhost
192.168.1.1 server

III.
/etc/dhcp3/dhcpd.conf

option domain-name-servers 84.2.44.1, 84.2.46.1;
option routers 192.168.1.1;
default-lease-time 600;
max-lease-time 7200;

subnet 192.168.1.0 netmask 255.255.255.0{
range 192.168.1.10 192.168.1.30;
}

IV.
/etc/default/dhcp3-server

INTERFACES="eth0 eth1"

Megcsináltam a következő NAT-olást:
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Viszont előjött a következő hiba:

/etc/init.d/dnsmasq force-reload

*Restarting DNS forwarder and DHCP server dnsmasq
dnsmasq: failed to create listening socket: Address already in use
*failed to start [fail]

DHCP-re dhcp3d-t configoltam.

A parancsra ez jön:

tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 0 14674 4817/master
tcp6 0 0 :::143 :::* LISTEN 0 14394 4679/couriertcpd
tcp6 0 0 :::53 :::* LISTEN 116 13367 3949/named
udp 0 0 0.0.0.0:67 0.0.0.0:* 107 14968 4899/dhcpd3
unix 2 [ ACC ] STREAM LISTENING 14767 4817/master private/maildrop
unix 2 [ ACC ] STREAM LISTENING 14867 4859/saslauthd /var/spool/postfix/var/run/saslauthd/mux
unix 3 [ ] STREAM CONNECTED 14679 4817/master
unix 3 [ ] STREAM CONNECTED 14678 4817/master
unix 3 [ ] STREAM CONNECTED 14676 4817/master
unix 3 [ ] STREAM CONNECTED 14675 4817/master
unix 2 [ ] DGRAM 14382 4678/courierlogger
unix 2 [ ] DGRAM 14167 4468/amavisd (virgi

( ace | 2009. 01. 12., h – 22:09 )

Tuzfalba ez a szabaly
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Fowardot engedelyezni:
echo "1" > /proc/sys/net/ipv4/ip_forward

/etc/dhcp3/dhcpd.conf
option domain-name-servers 192.168.1.5;
helyett a name serveret (84.2.44.1) add meg, hacsak .1.5 nincs name szerver, de azt nem irtad.
option routers 192.168.1.254;
helyet meg amelyik halokartyaba megy a swich annak az ip-jet. 192.168.1.10.

Ha az eth2 mogotti halora is akarsz netet, akkor az az eth1-alapjan csinalsz neki halozatot, vagy az eth1,eth2 -bol csinalsz egy bridge-t az interfaces fileban.
Debian allat pl.
/etc/network/interfaces

auto br0
iface br0 inet static
address 192.168.xx.yy
netmask 255.255.255.0
network 192.168.xx.0
broadcast 192.168.xx.255
bridge_ports eth1 eth2
up echo "1" > /proc/sys/net/ipv4/ip_forward || true

A leírásod alapján értem a dolgot.
Ezzel kapcsiban arra lennék kíváncsi, hogy tegyük fel már müküdik az eth1 mögötti háló, és az eth2-t is aktíválni akarom, akkor ezt bridge nélkül meg tudom-e oldani ??

mármint ugye dhcpd.conf-ban:

option routers 192.168.1.10 (eth1 ip-je)
option routers 192.168.1.20 (eth2 ip-je)

Csak ez így helytelen...

Igen.

Dhcp-t engedelyezed az eth2 -re is /defaults alatt.
="eth1 eth2"

A /network/interfacesben az eth2 masik halora konfigolod pl. 192.168.2.0
A dhcp konfigban erre a alhlora is csinalsz bejegyzest. A option-router .2.1 lessz.

auto eth2
iface eth2 inet static
address 192.168.2.1
netmask 255.255.255.0
broadcast 192.168.2.255
network 192.168.2.0

Ha kell, hogy lassak egymast az eth1 <-> eth2 mogott levo gepek akkor a netmaskot vagy ugy adod meg, hogy mind a ket halot lefedje, vagy Masquerade.

Köszönöm a segítséget, ezzel sikerült teljes mértékben megoldanom a problémát.

Ezzel kapcsiban még annyi kérdésem lenne, hogy egy normális tűzfal szabályt, hogy állíthatnék fel ??
Mindent zárnék, és csak a fontos portokat nyitnám vissza: ftp, telnet, ssh, http, netbios ... néhány fontos rendszer port még, illetve igény szerint felhasználói programoknak port!
Illetve, lehet-e külön szabályt felállítani adott IP címekre, tehát nem akarom, hogy vmelyik gépről elérjék az adott szolgáltatást, másikról viszont igen

Egeszsegedre :)

Vegul is bridge, vagy 2 halo lett belole?

- iptables
Rengeteg talalatot talalsz itt a hupon is. En pl. ez alapjan indultam el erdemes vegigolvasni.
Vagy egyszerubb megoldashoz online itt.

Alapesetben erdemes mindet drop-ra alitani, es azt engedelyezni ami kell.
Az alhalokbol a net fele a FORWARD lancot kell megdolgozni.
Lehet ip cimek szerint korlatozni, forras ip|net/cel ip|net forassport/celport -s -d --sport --dport kapcsolok.