Продолжение статьи про DHCP на CentOS – пускаем в Интернет

Модель топологии сети

Итак, если вы помните, была на днях статья вот с такой топологией в GNS3:

Модель топологии сети
Модель топологии сети

Сегодня мы дадим в этой сети доступ в Интернет на те устройства, которым он реально нужен. Предположим, в зелёном VLAN-е у нас веб-мастера, профессионально занимаются созданием сайтов, а в правой части – IT-шники, поддерживают инфраструктуру предприятия. Ну то есть дать интернет всем. Впоследствии можно конечно модернизировать и нарезать конкретные правила сетевого фильтра, этим займёмся как-нибудь потом.

Настраиваем точку выхода – Internet

Я ранее писал уже о том, как подружить GNS3 с реальным физическим интерфейсом компьютера вот тут.

В общем виде это делается так: кидаем облако на поле GNS3, заходим в свойства и добавляем туда имя нашего сетевого интерфейса (у меня оно называется Mikrotik, потому что домашний роутер – Mikrotik. Кстати, брал тут, очень рекомендую).

С точкой выхода всё нормально. Теперь делаем настройку шлюза.

Настройка шлюза сети Интернет

Маршрутизация

Прежде всего убедимся, что наш шлюз может маршрутизировать трафик. Для этого смотрим:

# cat /proc/sys/net/ipv4/ip_forward

Должно быть равно 1. Если не так, то добавляем в файл /etc/sysctl.conf параметр

net.ipv4.ip_forward=1

и применяем:

# sysctl -p

Так, наш шлюз может пропускать трафик между сетевыми интерфейсами. Теперь немного модернизируем правила файрволла.

Файрволл

Создадим файл /etc/fw.conf следующего содержания:

iptables=/sbin/iptables
iptables -t nat -F
iptables -t filter -F
iptables -t mangle -F
iptables -F
iptables -t filter -X
iptables -t nat -X
iptables -t mangle -X
iptables -X
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A FORWARD -i eth1.100 -o eth0 -s 192.168.100.0/24 -j ACCEPT
iptables -A FORWARD -i eth1.101 -o eth0 -s 192.168.101.0/24 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1.100 -d 192.168.100.0/24 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1.101 -d 192.168.101.0/24 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.100.0/24 -j SNAT --to-source=192.168.1.144
iptables -t nat -A PREROUTING -s 192.168.101.0/24 -j SNAT --to-source=192.168.1.144
iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT

Сделаем файл исполняемым:

# chmod +x /etc/fw.conf

И применим:

# /etc/fw.conf

Проблема

Внешка не пингуется. Тут я нашёл проблему – в предыдущей статье в настройках DHCP я указывал адрес шлюза по умолчанию – порт Cisco – 192.168.100.1 и 192.168.101.1. В самой киске настройки маршрутизации я не указывал, поэтому выхода в Интернет не было. Либо настроить маршрутизацию, либо лучше указывать адрес шлюза – ведь именно он будет машрутизатором.

Правим файл /etc/dhcp/dhcpd.conf, меняем option routers на соответствующий адрес сабинтерфейса шлюза. Теперь всё работает!

Теперь наши виртуальные хосты свободно ходят в Интернет.

Like this post? Please share to your friends:
Litl-Admin.ru

Comments:

Leave a Reply