Содержание
Итак, если вы помните, была на днях статья вот с такой топологией в GNS3:
Сегодня мы дадим в этой сети доступ в Интернет на те устройства, которым он реально нужен. Предположим, в зелёном VLAN-е у нас веб-мастера, профессионально занимаются созданием сайтов, а в правой части – IT-шники, поддерживают инфраструктуру предприятия. Ну то есть дать интернет всем. Впоследствии можно конечно модернизировать и нарезать конкретные правила сетевого фильтра, этим займёмся как-нибудь потом.
Настраиваем точку выхода – Internet
Я ранее писал уже о том, как подружить GNS3 с реальным физическим интерфейсом компьютера вот тут.
В общем виде это делается так: кидаем облако на поле GNS3, заходим в свойства и добавляем туда имя нашего сетевого интерфейса (у меня оно называется Mikrotik, потому что домашний роутер – Mikrotik. Кстати, брал тут, очень рекомендую).
С точкой выхода всё нормально. Теперь делаем настройку шлюза.
Настройка шлюза сети Интернет
Маршрутизация
Прежде всего убедимся, что наш шлюз может маршрутизировать трафик. Для этого смотрим:
# cat /proc/sys/net/ipv4/ip_forward
Должно быть равно 1. Если не так, то добавляем в файл /etc/sysctl.conf параметр
net.ipv4.ip_forward=1
и применяем:
# sysctl -p
Так, наш шлюз может пропускать трафик между сетевыми интерфейсами. Теперь немного модернизируем правила файрволла.
Файрволл
Создадим файл /etc/fw.conf следующего содержания:
iptables=/sbin/iptables
iptables -t nat -F
iptables -t filter -F
iptables -t mangle -F
iptables -F
iptables -t filter -X
iptables -t nat -X
iptables -t mangle -X
iptables -X
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A FORWARD -i eth1.100 -o eth0 -s 192.168.100.0/24 -j ACCEPT
iptables -A FORWARD -i eth1.101 -o eth0 -s 192.168.101.0/24 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1.100 -d 192.168.100.0/24 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1.101 -d 192.168.101.0/24 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.100.0/24 -j SNAT --to-source=192.168.1.144
iptables -t nat -A PREROUTING -s 192.168.101.0/24 -j SNAT --to-source=192.168.1.144
iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT
Сделаем файл исполняемым:
# chmod +x /etc/fw.conf
И применим:
# /etc/fw.conf
Проблема
Внешка не пингуется. Тут я нашёл проблему – в предыдущей статье в настройках DHCP я указывал адрес шлюза по умолчанию – порт Cisco – 192.168.100.1 и 192.168.101.1. В самой киске настройки маршрутизации я не указывал, поэтому выхода в Интернет не было. Либо настроить маршрутизацию, либо лучше указывать адрес шлюза – ведь именно он будет машрутизатором.
Правим файл /etc/dhcp/dhcpd.conf, меняем option routers на соответствующий адрес сабинтерфейса шлюза. Теперь всё работает!
Теперь наши виртуальные хосты свободно ходят в Интернет.
Comments: