Как сделать, чтобы не подменялся ip адрес, приходящий с LAN интерфейса ip адресом WAN интерфейса, а проходил дальше до следующего звена в неизмененном виде с помощью IPTABLES
У меня на LAN интерфейсе алиасы разных подсетей. Надо подсети с публичными ip адресами сделать доступными из-вне
в SNAT указать ip, которые не нужно натить
>в SNAT указать ip, которые не нужно натитьУ меня схема такая
*filter
:INPUT ACCEPT [6119:344155]
:FORWARD ACCEPT [1685:1247089]
:OUTPUT ACCEPT [13109:4296753]
:server_name - [0:0]
-A FORWARD -j server_nameCOMMIT
*nat
:PREROUTING ACCEPT [3502:172884]
:POSTROUTING ACCEPT [106:6858]
:OUTPUT ACCEPT [85:5718]
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -j
SNAT --to -source 195.195.195.195
-A POSTROUTING -s 212.74.222.144/255.255.255.240 -d 212.74.222.144/255.255.255.240 -j
SNAT --to -source 195.195.195.195где 195,195,195,195 - WAN_if сервера server_name
В этом случае ip адреса подсети 212.74.222.144/28 не пингуются снаружи WAN_if
Какой правильный синтаксис для правила SNAT в моем случае?
Может быть надо не всю подсеть переадресовывать с помощью SNAT а каждый ip адрес подсети со своим правилом / Так я думаю?
???
например
-A POSTROUTING -s 192.168.0.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -j
SNAT --to -source 195.195.195.195
-A POSTROUTING -s 212.74.222.145/255.255.255.240 -d 212.74.222.145/255.255.255.240 -j SNAT --to -source 195.195.195.195
-A POSTROUTING -s 212.74.222.146/255.255.255.240 -d 212.74.222.146/255.255.255.240 -j SNAT --to -source 195.195.195.195
etc
а с LAN интерфейса какие ip источника?
>а с LAN интерфейса какие ip источника?публичный адрес
>>а с LAN интерфейса какие ip источника?
>
>публичный адрес-A POSTROUTING -o WAN_интерфейса -s ! LAN_IP -j SNAT --to -source 195.195.195.195
не будет подмены адреса источника в пакетах уходящих через WAN_интерфейса с адресом LAN_IP, остальные будут нататься
У меня срабатывает правило
-A POSTROUTING -s $PUBLIC_NET -d ! $PUBLIC_NET -j SNAT --to -source WAN_IP
но не срабатывает теперь правило
-A POSTROUTING -s 192.168.1.0/255.255.255.0 -d ! 192.168.1.0/255.255.255.0 -j SNAT --to -source WAN_IP
не выходят на WAN_IP внутренние ip адреса. Может их не натить?
1
>У меня срабатывает правило
>-A POSTROUTING -s $PUBLIC_NET -d ! $PUBLIC_NET -j SNAT --to -source WAN_IP
>
>но не срабатывает теперь правило
>-A POSTROUTING -s 192.168.1.0/255.255.255.0 -d ! 192.168.1.0/255.255.255.0 -j SNAT --to -source WAN_IP
>
>не выходят на WAN_IP внутренние ip адреса. Может их не натить?если подсеть 192.168.1.0/255.255.255.0 выпускаете в инет через WAN_IP, то нужно натить иначе, провайдер или на каком нибуть следующем маршрутизаторе, эти пакеты убьют
>[оверквотинг удален]
>>У меня срабатывает правило
>>-A POSTROUTING -s $PUBLIC_NET -d ! $PUBLIC_NET -j SNAT --to -source WAN_IP
>>
>>но не срабатывает теперь правило
>>-A POSTROUTING -s 192.168.1.0/255.255.255.0 -d ! 192.168.1.0/255.255.255.0 -j SNAT --to -source WAN_IP
>>
>>не выходят на WAN_IP внутренние ip адреса. Может их не натить?
>
>если подсеть 192.168.1.0/255.255.255.0 выпускаете в инет через WAN_IP, то нужно натить иначе,
>провайдер или на каком нибуть следующем маршрутизаторе, эти пакеты убьютКонечно натить внутренние ip мне надо и мне все равно что с ними бюудет за WAN интерфейсом, а вот публичные подсети, которых несколько мненадо пропускать без маскирования, без подмены адресов WAN ip адресом. Вот и вопрос - почему внутренние ip не выходят в интернет через WAN_IP? С внешними разобрался - все выходят и пингуются. Помог SNAT