URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 21677
[ Назад ]

Исходное сообщение
"Разборки с NAT iptables (local ip наружу)"
Отправлено Stalker , 09-Окт-02 11:47

Имеем локальную сетку 192.168.0.0, firewall на Slackware kernel 2.4.18(eth0 -192.168.0.1), к прову подключаемся через выделенку на нем (ppp0 - 10.10.0.1). На firewall'e поднят маскарад для user'ов на iptables. Как выпустить наружу машину 192.168.0.2(mail,web),например с 10.10.10.1 из выделенного провом блока ip 10.10.10.0/255.255.255.248 ?

Содержание

RE: Разборки с NAT iptables (local ip наружу),Stalker, 12:03 , 09-Окт-02
- RE: Разборки с NAT iptables (local ip наружу),alice, 16:45 , 09-Окт-02
RE: Разборки с NAT iptables (local ip наружу),trin, 17:01 , 09-Окт-02

Сообщения в этом обсуждении

"RE: Разборки с NAT iptables (local ip наружу)"
Отправлено Stalker , 09-Окт-02 12:03

К примеру iptables -t nat -A PREROUTING -p tcp -d 10.10.10.1 --dport 80 -j DNAT --to-destination 192.168.0.2 не помогает(хотя бы для web). В чем грабли?

"RE: Разборки с NAT iptables (local ip наружу)"
Отправлено alice , 09-Окт-02 16:45

>К примеру iptables -t nat -A PREROUTING -p tcp -d 10.10.10.1 --dport
>80 -j DNAT --to-destination 192.168.0.2 не помогает(хотя бы для web). В
>чем грабли?
Хмм, вообще-то само правило прописано корректно, только что тестировала аналогичное -- работает. НО:
1. проверь, есть ли маршрутизация из мира на 10.10.10.1
2. имей в виду, что на PREROUTING путешествие пакета по файрволлу не заканчивается, впереди у него еще FORWARD и POSTROUTING. внимательно проверь правила этих цепочек -- может быть пакеты отбрасываются именно там (например запрещен форвард извне на внутреннюю сеть, а если у тебя по умолчанию политика DROP и отдельной разрешающей такой форвард записи нет -- то в этом проблема твоя и кроется). может быть некорректно описан NAT в POSTROUTING -- твои пакеты могут попадать под двойной NAT.
Почитай лучший в мире учебник по iptables -- http://www.netfilter.org/documentation/tutorials/blueflux/ip... -- и все у тебя будет ок.

"RE: Разборки с NAT iptables (local ip наружу)"
Отправлено trin , 09-Окт-02 17:01

>Имеем локальную сетку 192.168.0.0, firewall на Slackware kernel 2.4.18(eth0 -192.168.0.1), к прову
>подключаемся через выделенку на нем (ppp0 - 10.10.0.1). На firewall'e поднят
>маскарад для user'ов на iptables. Как выпустить наружу машину 192.168.0.2(mail,web),например с
>10.10.10.1 из выделенного провом блока ip 10.10.10.0/255.255.255.248 ?
Плюс к DNAT-правилу надо еще проверить, не дропаются ли пакеты в цепи FORWARD позже - потому как их происхождение - внешний интерфейс, а назначение - внутренний адрес. В большинстве примеров настройки iptables-файрволлов такое рассматривается как признак ip-spoofing и отдельно блокируется. Надо явно разрешить форвардить этот трафик до проверки на спуфинг.