שלום
יש לי רשת מחשבים
ושרת לינוקס עם 2 כרטיסי רשת redhat
אחד מחובר ל ADSL
והשני לרשת הרשת עובדת טוב
ברצוני להוסיף ADSL נוסף
הרעיון לנתב את המשתמשים דרך הלינוקס ל ADSL המתאים

הרעיון שאני מנסה לבצע
הוא להוסיף כתובת נוספת לכל כרטיס רשת בשרת
וזה עובד ETH1;0 ETH0:0
אז יש לי 2 כתובת פנימיות בשרת לדוגמה 192.168.183.1+2
ובנוסף 2 כתובות בכרטיס רשת השני שמחובר ל ADSL 10.0.0.1+2
הבעיה לא מצליח לנתב את היציאות לאינטרנט לפי כרטיסי הרשת
אני מעוניין שבעזרת 2 הכתובות הפנימיות שכל אחת מהם לגלוש דרך ADSL אחר

יתכן ואני לא בכיוון הנכון יש לקחת בחשבון שחובה שכל המחשבים יעברו דרך השרת הלינוקס עקב SARG למעקב אחר התחנות

הדוגמה 3 ADSL
 
https://2012-uploaded.fresh.co.il/2...20/92927975.png

התקנה שרתי לינוקס

הפתרון:

להוסיף טבלת ניתוב נוספת (אם אתה מכיר סיסקו, אותו רעיון של VRF) - ו"לצבוע" תעבורה לכיוון טבלת ניתוב מסויימת באמצעות iptables בטבלת mangle.

מצד שני, אני רואה שאתה משתמש ב Squid, או חושב להשתמש ב Squid. יש כאן בעייתיות. החיבורים שיצאו מ Squid הם חיבורים שיוצאים מהמכונה עצמה, ולא מהרשת המקורית, ולכן לפי זה לא תוכל לעקוב. אא"כ תשלב Transparent Squid יחד עם השיטה הנ"ל...

לא הבנתי מדוע צריך ממשקים וירטואליים בנוסף לקיימים (במה זה עוזר לך)

ואתה יכול פשוט להריץ שני Squid-ים שונים עבור כל אחת משתי הרשתות. אפשר להריץ אותם בשני משתמשים שונים, ואז לקבוע את הניתוב החוצה עם iptables כאמור, כאשר התנאי המסנן הוא ה uid של ה squid שפתח את החיבור...

נמאס לכם לזכור סיסמאות? לחצו כאן!

תודה על התגובה

אני יסביר את הבקשה
יש לי רשת אלחוטית
כניסה של משתמש א עם סינון
בנוסף יש לי משתמש נוסף ללא סינון והעדפת מהירות גלישה
לא ניתן להגדיר את המחשבים עקב שימוש לא רק ברשת שלי

הרעיון שלי
למשתמשים ללא סינון אני מוסף פקודה נוספת במחשב
של route delete 0.0.0.0
ומוסיף את הניתוב החדש

זה אומר שכולם מחוברים לאותה רשת אבל בעזרת פקודת הניתוב אני מנתב את המחשבים
המתאימים
לגבי ה SQUID רעיון טוב אני לא יודע עדיין אך הביצוע עקב השימוש בשרת לינוקס
בפרוקסי שקוף זה אומר שכל הבקשות של 80 עוברים ל 3128

התקנה שרתי לינוקס

למה בעצם אין לך שתי רשתות (VLAN-ים לצורך העניין), ואתה "זורק" כל לקוח קצה ל VLAN הרלוונטי בהתאם ל WLAN שהוא התחבר אליו? (בהנחה שהאלחוט שלך מספיק מתקדם כדי ליצור שידור של מספר ESSID-ים ולשייך תעבורה של כל אחד מהם ל VLAN נפרד?) - ונמנע מכל הבלאגן? שלא לדבר על זה שזו שיטה חסינה בהרבה לעקיפות (בשיטה שלך המשתמש המסונן יכול לסדר לעצמו אינטרנט לא מסונן ממש בקלות... כמו שאתה משנה route, ככה גם הוא יכול...)

נמאס לכם לזכור סיסמאות? לחצו כאן!

בוצע בתחילה עם וילנים אבל לאחר תקופה כולם היו ברשת המהירה
לא ניתן לביצוע עקב זה שהמשתמשים מעבירים את הסיסמה ממשתמש למשתמש
את route הם לא מזהים עקב שימוש מוסתר בנוסף כולם משתמשים בשרתים משותפים ומדפסות כמות המשתמשים
את פיתרון המוצע את יכול להסביר עם דוגמה
אני מבין שלאחר התקנת SQUID נוסף אני מפנה לפי בחירה לSQUID המתאים אך אני יוצר את הפרדה שהמחשבים
יגשו למסלול המתאים
אני חשבתי על הפרדה בעזרת IP נוסף לשרת (כאילו 2 שרתים)
לגבי המעקב יש טבלאות שיוצר SARG לכל פרוקסי לכן המעקב הוא טוב ופשוט
כרגע הפיתרון שעובד פשוט יש 2 שרתי לינוקס אני חייב לבטל אחד מהם

התקנה שרתי לינוקס

כלומר האסטרטגיה שלך היא שאם אנשים העבירו סיסמאות וצפצפו על הנהלים, מידע אחר (route) לא יעבור. צר לי לבשר לך את זה, אבל זו אסטרטגיה גרועה מאוד.

כן, אתה יכול ליצור שתי כתובות IP לשרת, ולגרום לכל Squid להאזין לאחת אחרת.

ועדיין אני לא מבין מה ימנע מאלה ששיתפו את הסיסמא לשתף את המידע הזה שהוא "פחות חמור"...

נמאס לכם לזכור סיסמאות? לחצו כאן!

זה עובד עובדה אני גם יכול בקלות לשנות את כתובת השרת את הפקודה לראוטר הם מקבלים לאחר החיבור ל DOMAIN .המשתמשים חושבים שמה שקובע את הגלישה וזה שם המשתמש את זה הם לא מעבירים.
לגבי הפיתרון אני הגדרתי לכל כרטיס רשת כתובת נוספת אבל את הניתוב לא מצליח לנתב בהתאם
אשמח לדוגמה של ההגדרות תודה

התקנה שרתי לינוקס

אם אתה הולך בגישה של שני SQUID-ים שמאזינים כל אחד רק על ממשק רשת אחד, הדרך לגרום לכל אחד מהם לצאת דרך חיבור רשת אחר, תהיה, כאמור, להריץ אותם בשני משתמשים שונים. עשית את זה?

אם אתה רוצה דוגמא מוכנה, תן לי:

1. את ה uid שכל אחד מהם רץ בו
2. את ממשקי הרשת השונים שדרכם אתה רוצה לצאת (מה שם הממשק ומה ה IP של ה DGW שלו)

נראה לי שאמור להספיק

נמאס לכם לזכור סיסמאות? לחצו כאן!

טוב אני מקווה שהבנתי
בשרת 2 כרטיסי רשת אחד פנימי
כתובת
ifcfg-eth1
TYPE=Ethernet
DEVICE=eth1
HWADDR=00:0a:cd:19:c5:ab
USERCTL=no
ONBOOT=yes
PEERDNS=no
IPV6INIT=no
IPADDR=192.192.0.250
NETMASK=255.255.0.0
NETWORK=192.192.0.0
BROADCAST=192.192.0.255

ifcfg-eth1:0
TYPE=Ethernet
DEVICE=eth1:0
HWADDR=00:0a:cd:19:c5:ab
USERCTL=no
ONBOOT=yes
PEERDNS=no
IPV6INIT=no
IPADDR=192.192.0.251
NETMASK=255.255.0.0
NETWORK=192.192.0.0

יציאה כרטיס רשת
ifcfg-eth0
TYPE=Ethernet
DEVICE=eth0
HWADDR=50:e5:49:c6:c4:bd
USERCTL=no
ONBOOT=yes
PEERDNS=no
IPV6INIT=no
BOOTPROTO=none
IPADDR=192.168.183.18
NETMASK=255.255.255.0
NETWORK=192.168.183.0
BROADCAST=192.168.183.255

gw 192.168.183.1
192.168.183.2

/route-eth0
לגבי הפרוקסי אחד מאזין 8080 והשני 3128
במצב הקיים התגובה היא מ פורט 80 ל3128

התקנה שרתי לינוקס

טוב, אז ככה.

בעצם, אותנו מעניינת רק התעבורה שלא הולכת ל DGW (כי זו שכן, אנחנו פשוט לא נוגעים - נותנים לה לזרום כפי שהיא.)

לא ברור ממה שכתבת, אז אני אניח ש 192.168.183.1 הוא ה DGW הנוכחי, והוא היחיד שיישאר כברירת מחדל. אתה תבחר אם להחליף את זה בהתאמה להוראות ההמשך.

גם לא ברור לי מה הסיפור של האזנה ל 8080 או 80 (?!) אבל זה לא ממש משנה, כי מה שמעניין אותנו זה מאיזה פרוקסי יוצאים החיבורים, ולא איך הגיעו אליו.

כמו כן, לא כתבת באיזה יוזרים רצים כל אחד מה squid-ים (שמת לב שכתבתי שהם צריכים לרוץ בשני יוזרים שונים, נכון?) - לכן אניח שהיוזרים הם squid עבור זה שיוצא כרגיל דרך ה DGW שאני הגדרתי שרירותית שהוא 192.168.183.1, ושהיוזרים האחרים, הם המוגבלים, עוברים דרך squid שרץ תחת שם המשתמש squid-restricted.

אנחנו צריכים להתחיל ביצירת טבלת ניתוב חלופית, שאליה אפשר יהיה להפנות את התעבורה המבוקשת. ניצור הגדרה של טבלה שהמזהה שלה יהיה (שרירותית) 250, ושמה יהיה wan2 (גם שרירותית) :

קוד:

echo "250   wan2" >> /etc/iproute2/rt_tables

ניצור בטבלה זו חוק ניתוב עבור ה GW של המשתמשים המוגבלים:

קוד:

/sbin/ip route add default via 192.168.183.2 table wan2

נצבע את התעבורה שיצאה מהמשתמש squid-restricted לכיוון ממשק ה WAN בלבד עם המזהה 2 (שרירותית).

קוד:

/sbin/iptables -t mangle -I OUTPUT -o eth0 -m owner --uid-owner squid-restricted -j MARK --set-mark 0x2

אחרי שצבענו את כל התעבורה שהגיעה מהמשתמש squid-restricted עם המזהה 2, אנחנו מעוניינים שהקרנל ידע שתעבורה שסומנה כך, יש להשתמש עבורה בטבלת הניתוב המיוחדת שיצרנו, wan2:

קוד:

/sbin/ip rule add prio 200 fwmark 0x2 lookup wan2

כדי לוודא שכל מה שהכנסנו נראה תקין, ניתן להשתמש בפקודות הבאות (ואם לא עובד, דיבוג יהיה באמצעות הפלט שלהן, אז, צרף אותו) :

קוד:

/sbin/ip route show table wan2

/sbin/iptables -t mangle -L OUTPUT -vn

/sbin/ip rule

אני חושב שזהו.

לאחר שתסיים, תוכל לעשות su ליוזר squid-restricted, להריץ משם traceroute נניח ל 8.8.8.8 ולראות אם הוא יוצא החוצה דרך 192.168.183.2 כפי שאתה מצפה...

הצרה היא שלא ממש בדקתי את כל מה שכתבתי כאן. הכל בשלוף...

נמאס לכם לזכור סיסמאות? לחצו כאן!

תודה
אבל אך אתה יוצר את ההפרדה של התחנות שפונות לשרת דרך 2 כתובות IP למצב הנתון 192.192.0.250-192.192.0.251
כרגע במצב הנוכחי כולם יוצאים דרך הכרטיס רשת השני שהכתובת 192.168.183.18
והוא יוצא לאינטרנט בכתובת 192.168.183.1
ישנו עוד יציאת אינטרנט 192.168.183.2
3128/tcp open squid-http
8080/tcp open http-proxy

התקנה שרתי לינוקס

אתה בעצמך אמרת שאתה עושה את ההפרדה ככה - שבאחת התחנות ה DGW יהיה 192.192.0.250 ובשנייה 192.192.0.251, לא? (וכל אחד מה squid-ים מאזין רק על אחת מהן בקובץ הקונפיגורציה שלו)

נמאס לכם לזכור סיסמאות? לחצו כאן!

טוב האני מבין
אני יכול להגדיר שבקובץ של הפרוקסי squid.conf
שיאזין ל IP של ETH1:0 בלבד כנ"ל לגבי הפרוקסי השני
בנוסף אמרתי שנוצרת היתנגשות בפורטים של הפרוקסי לכן היגדרתי פורטים שונים אני צריך לבדוק עם זה עובד.
שאלה במידה ואני מבטל את הדרישה לפרוקסי אם יש רעיון לניתוב ללא פרוקסי

התקנה שרתי לינוקס

אם אין פרוקסים, אז אפשר פשוט לשנות את ה iptables ככה שיצבע תעבורה בשרשרת PREROUTING לפי ממשק כניסה (i eth1:0-) - לפחות בתיאוריה. ייתכן שזה יהיה בעייתי בגלל שזה ממשק וירטואלי. לא ניסיתי את זה שנים ואני לא זוכר. אפשר גם לפלטר לפי source ip אם טווחי ה IP שלהם הם שונים (אבל הם לא). האידאל יהיה שני כרטיסי רשת אמיתיים (או כרטיס רב-פורטים). למעשה, אם הולכים לפי source ip, אפשר אפילו לדלג על הצביעה לגמרי, ולנתב לטבלה החדשה שיצאנו ישירות באמצעות פקודת ip rule שתתייחס ל IP במקום ל fwmark...

נמאס לכם לזכור סיסמאות? לחצו כאן!

אני לא יכול להוסף עוד כרטיס רשת אז אני אשתמש בשיטה של 2 פרוקסי
שאלה אך אני יכול לדעת מה uid של כל הפרוקסי
שאני בודק nmap
אני רואה
3128/tcp open squid-http
8080/tcp open http-proxy

התקנה שרתי לינוקס

אתה הרצת אותם, אתה לא יודע באיזה יוזר הרצת כל תוכנה, כלומר איזה קובץ קונפיגורציה ? (ולפי זה הפורט?)

nmap לא יעזור לך

ps axfu אולי כן, אם כתוב שם הפרמטר של קובץ הקונפיגורציה.

אבל שוב, זה דברים שאתה קבעת, אתה אמור לדעת.

נמאס לכם לזכור סיסמאות? לחצו כאן!