Así que estoy intentando configurar una caja BRO IDS con doble conexión para que actúe como servidor de puerta de enlace (?) entre mi red doméstica y el enrutador barato existente que viene con la banda ancha. lo que tengo es esto... (las tuberías representan cables, perdón por el mal formato)
Internet
|
ADSL Router running DHCP (gateway is 192.168.1.254)
|
eth0 (192.168.1.1)
ubuntu 1404 server running bro IDS, running bind9,
it serves DHCP on 192.168.2.0 network only on eth1
eth1 (192.168.2.1)
|
Internal LAN running two Apple Airports in bridge mode
Creo que he configurado las cosas correctamente, pero el servidor Ubuntu no se enruta. Puedo utilizar SSH y hacer ping a ambas interfaces desde él, además de hacer ping a Internet. Sin embargo, los hosts de cualquiera de las LAN no pueden enrutarse al otro lado del servidor Ubuntu.
Aquí está el resultado de las rutas -n
Kernel IP routing tableico /etc/network/interfaces
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0
192.168.1.254 0.0.0.0 UG 0 0 0 eth0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
y aquí está el contenido de/etc/interfaces
auto lo
iface lo inet loopback
auto eth0
iface eth0 inet static
address 192.168.1.1
netmask 255.255.255.0
gateway 192.168.1.254
broadcast 192.168.1.255
auto eth1
iface eth1 inet static
address 192.168.2.1
network 192.168.2.0
netmask 255.255.255.0
broadcast 192.168.2.255
gateway 192.168.1.254
Habilité ipv4 ipforwarding usando sysctl. El servidor DHCP de Ubuntu está configurado para servir solo direcciones IP 192.168.2.0 y funciona bien. Hay otro enrutador DHCP que sirve eth0 (192.168.1.0) que mantuve activo para poder usar el wifi en el enrutador de banda ancha para navegar por la web mientras soluciono el problema.
Pero en cualquier caso, todavía no he podido hacer ping al otro lado del cuadro de Ubuntu después de iniciar sesión en ambos lados con IP asignadas estática y dinámicamente. ¿Puedes publicar el contenido de dhcpd.conf también...?
¿Me estoy perdiendo algo simple? ¿Hay algún paso de solución de problemas que pueda seguir en el cuadro de Ubuntu para verificar y reducir el problema? Actualmente solo recibo mensajes de 'no se encontró/existe ruta'... Aquí también están los detalles de /etc/dhcpd.conf...
ddns-update-style none;
default-lease-time 600;
max-lease-time 7200;
authoritative;
subnet 192.168.2.0 netmask 255.255.255.0 {
range 192.168.2.2 192.168.2.240;
option routers 192.168.1.254;
option broadcast-address 192.168.2.255;
option domain-name-servers 192.168.2.1, 8.8.8.8;
}
Este es el resultado del ping a través del enrutador.
Request timeout for icmp_seq 0
Request timeout for icmp_seq 1
Request timeout for icmp_seq 2
Además, mientras lo configuraba, lo configuré inicialmente como un puente, pero esa configuración se eliminó de las interfaces hace mucho tiempo (no funcionó en absoluto)
Según lo solicitado, aquí está el resultado de iptables -L
Cadena ENTRADA (política ACEPTAR)
objetivo beneficio opción fuente destino
Cadena ADELANTE (política ACEPTAR)
objetivo beneficio opción origen destino
Cadena SALIDA (política ACEPTAR)
objetivo beneficio opción fuente destino
Respuesta1
Hay algunas cosas que no me parecen claras, al menos a mí a primera vista.
La siguiente línea en /etc/dhcpd.conf esseguramenteequivocado:
enrutadores opcionales 192.168.1.254;
debería ser
option routers 192.168.2.1
Actualmente, básicamente le está diciendo a sus clientes DHCP que su puerta de enlace predeterminada está en una subred diferente a la de ellos: ¿cómo espera que puedan llegar a dicha puerta de enlace? La dirección correcta para la puerta de enlace que pasa a los clientes es la interfaz LAN del enrutador.
Cuando dice que no puede hacer ping desde clientes DHCP, ¿lo intentó con un nombre (p.ejwww.google.com) o con una IP (p.ej8.8.8.8)? Hace la diferencia porque no dijiste nada sobre la resolución DNS, por lo quepodríasucede eso
hacer ping -c1 8.8.8.8
recibe una respuesta, mientras
ping -c1 www.google.com
no es.Sieste es el caso, tu eressolofaltan las siguientes dos líneas en/etc/resolv.conf:
nameserver 8.8.8.8
nameserver 8.8.4.4
Si esto esnoSi es así, siga leyendo.
lo que dices sobreiptablesno es completamente consistente, porque usted afirma que ha agregado la regla para NATting en iptables, pero luego muestra la regla de iptables existente para elfiltrarmesa, no lanatmesa. Entonces, emita el siguiente comando
iptables -t nat -A POSTROUTING -o eth0 -j MASCARADA
y luego,sinAl reiniciar, intente emitir los mismos comandos de ping que los anteriores.
Si todo esto falla, abra dos terminales en la máquina Ubuntu y emita los dos comandos siguientes: en la terminal 1,
tcpdump -i eth0 -n icmp
y en la terminal 2
tcpdump -i eth1 -n icmp
luego vaya a uno de los clientes DHCP y pruebe uno de lossilbidocomandos de arriba. Si todo funciona, deberías ver tanto el ping como su respuesta volar.ambosterminales. Si no es así, pegue el resultado para recibir otra ronda de ayuda.
Respuesta2
Su enrutador Ubuntu se está enrutando bien. Ese no es el problema. El problema es que su configuración no puede funcionar porque el enrutador ADSL no tiene idea de cómo llegar a las máquinas en la red 192.168.2.x. Además, ningún dispositivo está configurado para realizar NAT para la red 192.168.2.x. Entonces tu configuración simplemente no tiene sentido.
Entonces, por ejemplo, digamos 192.168.2.9
pings 8.8.8.8
. El servidor Ubuntu lo enruta perfectamente por su ruta predeterminada. Pero luego el enrutador ADSL recibe un paquete de 192.168.2.9
a 8.8.8.8
en su interfaz LAN y no tiene idea de qué hacer con él.
Actualización: para ver solo un problema, considere la tabla de enrutamiento en el enrutador ADSL. La única ruta local que tiene es 192.168.1.0/24 a la LAN. Cualquier otra ruta va al enlace de su ISP. Entonces, cuando maneja un paquete a 192.168.2.1, su tabla de enrutamiento dice que envíe ese paquete a Internet. Eso claramente no funcionará.