Как решить проблему с доступом между двумя локальными подсетями (Shorewall)?

Question

[Денис]

Добрый день!

Интересует решение следующего вопроса. Имеется настроенный сервер на Debian 7.8, два физических интерфейса - один смотрит к провайдеру (eth0), другой в локальную сеть (eth1). На eth1 раздаются по DHCP адреса (подсеть 10.0.0.0/8) и на них же настроен маскарадинг (NAT). Дополнительно поднят виртуальный интерфейс eth1:1 со статической адресацией, без DHCP (подсеть 192.168.0.0/16). Из этой подсети доступ осуществляется через Squid3, но суть не в этом. В сети eth1:1 есть расшаренный ресурс со статическим ip, к которому необходимо дать доступ клиентам из сети eth1 (10.0.0.0/8).
Все это дело разруливается при помощи Shorewall.

Привожу конфиги.

/etc/shorewall/interfaces
#ZONE INTERFACE OPTIONS
net eth0 tcpflags,nosmurfs,routefilter,logmartians,sourceroute=0
- eth1 dhcp,tcpflags,nosmurfs,routefilter,logmartians

/etc/shorewall/zones
#ZONE TYPE OPTIONS
fw firewall
net ipv4
loc ipv4
loc2 ipv4

/etc/shorewall/hosts
#ZONE HOSTS OPTIONS
loc eth1:10.0.0.0/8
loc2 eth1:192.168.0.0/16

/etc/shorewall/policy
#SOURCE DEST POLICY LOG LEVEL
net fw DROP err
net all DROP
loc net ACCEPT
loc2 net DROP
# THE FOLLOWING POLICY MUST BE LAST
all all REJECT err

/etc/shorewall/rules
#... часть правил я опустил, т.к. не имеют отношения к проблеме
#ACTION SOURCE DEST PROTO DEST SOURCE
# Allow Ping n SMB between loc and loc2 (test)
Ping(ACCEPT) loc loc2
Ping(ACCEPT) loc2 loc
SMB(ACCEPT) loc loc2:192.168.100.5

/etc/shorewall/masq
#INTERFACE SOURCE ADDRESS PROTO PORT(S) IPSEC MARK
eth0 10.0.0.0/8

Проблема в том, что не удается получить доступ из подсети 10.0.0.0/8 в подсеть 192.168.0.0/24, собственно пинги не идут и не открываются ресурсы по SMB, хотя явные правила для этого прописаны в /etc/shorewall/rules.
Использовал официальный мануал, там есть пример, как решается подобный вопрос (Example 6) - shorewall.net/Shorewall_and_Aliased_Interfaces.html
Подскажите, где может быть ошибка? Если будут нужны дополнительные логи или конфиги, то приведу без проблем.

Comments

[ldv]

а вывод iptables-save можно?

[solalex]

и еще нужен вывод интерфейсов и роутинга

[Денис]

ldvldv: вот вывод iptables-save: pastebin.com/tn8bgxSr

[Денис]

solalex: роутинг: pastebin.com/Zr3cZRRB
интерфейсы: pastebin.com/rYvQNbiY

[solalex]

Денис: Для сетей 10.0.0.0 и 192.168.0.0 нет шлюзов, и как вы хотите чтобы между ними пакеты ходили?

[Денис]

solalex: если правильно понимаю, то в /etc/network/interfaces прописать gateway 10.0.0.1 для eth1 и gateway 192.168.0.1 для eth1:1?

[solalex]

и у них один интрерфейс

[ldv]

solalex: Денис: на сервере шлюз должен быть один (провайдера)

выключите Shorewall (если он работает как служба)
очистите iptables

iptables -F
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P INPUT ACCEPT

и посмотрите, ходят ли пинги между хостами в сетях

[Денис]

ldvldv: Полностью очистил все цепочки, политики выставил в ACCEPT - другая подсеть по-прежнему не видна. Видимо, какие-то проблемы с роутингом?

[ldv]

Денис: текущий вывод
iptables-save
ip route можно?

может вы на клиентах в сети не указали default gateway?

[Денис]

ldvldv: iptables пустые, политики ACCEPT везде. Вывод ip route:

default via x.x.x.x dev eth0
10.0.0.0/8 dev eth1 proto kernel scope link src 10.0.0.1
x.x.x.x/28 dev eth0 proto kernel scope link src z.z.z.z
192.168.0.0/16 dev eth1 proto kernel scope link src 192.168.0.1

x.x.x.x
z.z.z.z - адреса провайдера

На всех клиентах указан default gateway (либо через DHCP на eth1, либо вручную на eth1:1)

[ldv]

Денис: tcpdump на сервере пакеты, проходящие между клиентами, видит?
на клиентах антивирусы/файрволы есть?

[solalex]

ldvldv: "solalex: Денис: на сервере шлюз должен быть один (провайдера)"
не согласен, подсети разные, если будет один шлюз то пакет из сети 10..... в сеть 192.... полезет через шлюз провайдера. Нужно роутингом прописывать интерфейсы в которые ходят пакеты.
Ну и вообще, в сабже какие-то маски подсетей странные, в 10.0.0.0/8 - 16 милионов хостов - зачем такое нужно вообще?

[solalex]

Да и вообще пишут, что iptables не работает с IP-альясами, коим является eth1:1

[ldv]

solalex: для 10 и 192 сети в таблице маршрутизации записи автоматически создаются

Answer 1

[Сергей]

Сложности какие-то.
Не знаю что такое shorewall, подозреваю что файрвол какой-то, но ваша проблема разруливается обычной маршрутизацией. Как я понимаю у вас это шлюз. Ну так проверьте маршруты, сделайте разрешающие правила на своем shorewall. Чтоб не блокировал хождение пакетов из одной сети в другую

PS. Почитал про shorewall.. Ужас какой-то. Чем iptables то не устроил?

PS2.. А, все понял. Это обвязка для iptables. Все равно ужас!

Comments

[Денис]

С iptables возникли некоторые сложности, поэтому решил воспользоваться этим решением. Правила маршрутизации прописывал, не дало результата.

[Денис]

Выставлял следующие правила:
route add -net 192.168.0.0 netmask 255.255.0.0 gateway 10.0.0.1
route add -net 10.0.0.1 netmask 255.0.0.0 gateway 192.168.0.1

[Сергей]

Денис: На самом шлюзе ничего писать не нужно.
Попробуйте так:
cat /proc/sys/net/ipv4/ip_forward
Если - 0, то:
echo 1 > /proc/sys/net/ipv4/ip_forward

[Сергей]

Чтобы настройки сохранились после перезагрузки, пропишите значение net.ipv4.ip_forward в /etc/sysctl.conf.

[Денис]

Сергей: Команда cat /proc/sys/net/ipv4/ip_forward выдает 1, форвардинг пакетов я разрешил еще при настройке шлюза.

[Сергей]

Денис: Файрвол пробовали для проверки отключать?

Answer 2

[9erhard]

Серьезно с вашими конфигами не разбирался. Но по опыту:
1) Чтобы интерфейс начал пропускать пакеты на вход-выход (замыкая обработку трафика на себе, без передачи другим интерфейсам) в Shorewall нужно использовать опцию routeback в файле interfaces. Как в примере по вашей ссылке, в Example 5.
2) Не понял зачем в zones описан eth1 дважды для обоих внутр.подсетей. В моих конфигах такое не используется. Ну может и не сильно влияет на проблему. Хотя..

Comments

[Денис]

Опцию routeback уже пробовал, а в zones eth1 описывал отдельными подсетями, т.к. так было указано в примере (Example 6). Подсети на одном интерфейсе указал в файле /etc/shorewall/hosts. Проблема уже в другом - при полном сбросе всех правил во всех цепочках и выставлении политик по-умолчанию на ACCEPT, трафик между интерфейсами все равно не ходит. В чем проблема, не могу понять...
P.S. Таблицы роутинга есть в комментариях к первому посту.

[9erhard]

Денис: "трафик между интерфейсами все равно не ходит" - между eth0 и eth1 или речь все еще про сети 10/8 и 192/24 на интерфейсе eth1? Если про второе то роутинг тут не причем, маршрутов создааных системой при прописывании адресов хватит. Главное чтобы ip_forward был разрешен.
Если речь про обмен eth0 и eth1 то смотри что у тебя еще в цепочках таблиц nat и mangle. Так на них "iptables -F" из одно из комментов не действует, нужно имена таблиц указывать. Ав первом описании у вас про NAT что-то было.

[Денис]

9erhard: трафик не ходит между 10/8 и 192/24 на eth1. ip_forward разрешен в /etc/sysctl.conf: net.ipv4.ip_forward=1, NAT между eth0 и eth1 работает нормально.

[9erhard]

Денис: Ну тогда остается только через Wireshark или tcpdump смотреть что происходит с пакетами на eth1, потому что должно работать по идее.

Answer 3

[t_q_l]

ip route add 192.168.0.0/24 dev eth1:1
ip route add 10.0.0.0/8 dev eth1