URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 77329
[ Назад ]

Исходное сообщение
"Баянный вопрос про NAT"
Отправлено Gular , 13-Ноя-07 21:21

Приветствую.
Есть локальная сеть, поделённая на подсети посредством VLAN. Стоит сервер, на котором настроено VPN-подключение в Интернет по протоколу РРТР. Всё работает, т.е. сервер ходит в глобальный интернет.
Нужно раздать этот интернет на несколько адресов в сети. Только не определённые порты, а полностью весь. Чтобы "нужные" сетчане могли ходить через этот шлюз в интернет.
У интерфейса ppp0 внешний "белый" ip-адрес - 85.158.48.135. Локальны ip-адрес 172.30.137.200/24, а gateway 172.30.137.1.
Необходимо полностью пробросить подключение на адреса 172.30.140.186/24 (gateway 172.30.140.1; это я), 172.30.137.23/24 (gateway 172.30.137.1) и 172.30.134.101/24 (gateway 172.30.134.1). Для других доступа не должно быть.
Хотелось бы для самоуверенности спросить :), достаточно ли для этого правила в iptables iptables -t nat -A POSTROUTING -s my_ip_adress -j MASQUERADE ?
Также хочется узнать у опытных людей, каким средствами лучше шифровать пакеты на пути "мой сервер <-> клиенты" без установки дополнительных, своих внутренних, VPN с аутентификацией?

Содержание

Баянный вопрос про NAT,angra, 15:22 , 14-Ноя-07
- Баянный вопрос про NAT,Gular, 13:11 , 15-Ноя-07

Сообщения в этом обсуждении

"Баянный вопрос про NAT"
Отправлено angra , 14-Ноя-07 15:22

В общем случае недостаточно. В первую очередь должен быть разрешен forward, а уже потом NAT.
Кстати, если подключение к инету по фиксированому IP, то вместо MASQUERADE лучше указать этот IP. MASQUERADE изначально предназначен для соединений с динамическим IP

"Баянный вопрос про NAT"
Отправлено Gular , 15-Ноя-07 13:11

>В общем случае недостаточно. В первую очередь должен быть разрешен forward, а
>уже потом NAT.
>Кстати, если подключение к инету по фиксированому IP, то вместо MASQUERADE лучше
>указать этот IP. MASQUERADE изначально предназначен для соединений с динамическим IP
>
angra, спасибо, что подсказываете.
Точно, у меня же внешний адрес на интерфейсе ppp0 85.158.48.135. Тогда динамическое тут ни к чему.
Я тогда
1. iptables -A FORWARD DROP
2. iptables -A FORWARD -s 172.30.140.186 -d 172.30.137.200 -j ACCEPT
3. iptables -A FORWARD -s 172.30.137.200 -d 172.30.140.186 -j ACCEPT
4. iptables -t nat -A POSTROUTING -s 172.30.140.186 -p tcp,udp -j SNAT --to-source 85.158.48.135
А вот так? :) Извиняюсь, просто опыт работы с пакетным фильтром небольшой.
Форвардинг включён:
cat /proc/sys/net/ipv4/ip_forward
1