Добрый вечер. Перейду сразу к своей проблеме что не получаетс сделать:

1. пытаюсь по ssh выйти с компа 192.168.13.2 на комп 172.16.13.2
2. на сервере SuSe 2 сетевые карты eth1 - 172.16.13.1 и eth0 - 192.168.13.1

Настройки следующие:

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

далее разрешаю входящее 2-м компам разных сетей

iptables -A INPUT -s 172.16.13.2 -j ACCEPT
iptables -A INPUT -s 192.168.13.2 -j ACCEPT

далее сторою NAT

iptables -t nat -A POSTROUTING -s 192.168.13.2 -d 172.16.13.2 -p tcp -j MASQUERADE

шлюз пингуется с любой машины. но вот машины из разных сетей не пингуются и по ssh друг на друга не заходят :(      #sshd поднят

Подскажите пожлауйста что сделал не так ? Есть ли взаимосвязь между POSTROUTING и PREROUTING ? Может надо SNAT а не MASQUERADE, если да то как ?
Все перепробовал ничего не получается...

• NAT на Линуксе,PavelR, 16:59 , 14-Окт-08
  • NAT на Линуксе,virtuoz, 17:13 , 14-Окт-08
• Что не так,Andrey Mitrofanov, 17:39 , 14-Окт-08
  • Что не так,virtuoz, 10:36 , 15-Окт-08
    • Что не так,reader, 11:11 , 15-Окт-08
      • Что не так,virtuoz, 11:58 , 15-Окт-08
        • Что не так,reader, 12:16 , 15-Окт-08
          • Что не так,virtuoz, 12:47 , 15-Окт-08
    • Что не так,Temik, 11:48 , 15-Окт-08
      • Что не так,virtuoz, 13:04 , 15-Окт-08
        • Что не так,reader, 14:57 , 15-Окт-08
          • Что не так,virtuoz, 15:55 , 15-Окт-08
            • Что не так,virtuoz, 17:15 , 15-Окт-08

>[оверквотинг удален]
>MASQUERADE
>
>шлюз пингуется с любой машины. но вот машины из разных сетей не
>пингуются и по ssh друг на друга не заходят :(  
>    #sshd поднят
>
>Подскажите пожлауйста что сделал не так ? Есть ли взаимосвязь между POSTROUTING
>и PREROUTING ? Может надо SNAT а не MASQUERADE, если да
>то как ?
>Все перепробовал ничего не получается...

полное непонимание сути работы айпи сетей.

Нафига нат, если 2 машины подключены к третьей напрямую.
iptables -P FORWARD DROP

почитайте как работает iptables,как по нему бегают пакеты и для чего нужна каждая цепочка.

В частности, у вас фсе не работает из-за: iptables -P FORWARD DROP

>[оверквотинг удален]
>
>Нафига нат, если 2 машины подключены к третьей напрямую.
>iptables -P FORWARD DROP
>
>
>почитайте как работает iptables,как по нему бегают пакеты и для чего нужна
>каждая цепочка.
>
>В частности, у вас фсе не работает из-за: iptables -P FORWARD DROP
>

У меня 2 больше сети.

Всем доступ давать к ресурсам нельзя. могу конечно так сделать

iptables -A FORWARD -m mac -mac-source XX:XX:XX:XX:XX:XX -j ACCEPT

но есть альтернативные методы?

>Подскажите пожлауйста что сделал не так ?

0.5/ ((В предположении, что действительно нужен NAT....))

1/ Ловил "транзитные" пакеты в INPUT.

2/ Маскарадил пинги с "-p tcp".

2.1/ ((Отсюда не видно, возможно, не включил ip_forward.))

> Может надо SNAT а не MASQUERADE, если да то как ?

3/ Нам - не надо. Если да, то так:
google.ru
SNAT MASQUERADE site:opennet.ru
ENTER

> Все перепробовал ничего не получается...

4/ Не всё.

Поставлю вопрос по другому:

Компьютер А - 172.16.13.2
Интерфейс eth 1 маршрутизатора в сторону А - 172.16.13.1
Интерфейс eth 0 маршрутизатора в сторону Б - 192.168.13.1
Компьютер Б - 192.168.13.2

Необъходимо:

Организовать SNAT между этими сетями, чтобы можно было получить доступ с компьютера Б к компьютеру А через NAT а не напрямую. Как это сделать?

Параметры:
ip_forward=1

Настройки iptables пустые. по умолчанию на filter сделано

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

>Поставлю вопрос по другому:
>
>Компьютер А - 172.16.13.2

шлюзом прописать 172.16.13.1
>Интерфейс eth 1 маршрутизатора в сторону А - 172.16.13.1
>Интерфейс eth 0 маршрутизатора в сторону Б - 192.168.13.1
>Компьютер Б - 192.168.13.2

шлюзом прописать 192.168.13.1
>
>Необъходимо:
>
>Организовать SNAT между этими сетями, чтобы можно было получить доступ с компьютера
>Б к компьютеру А через NAT а не напрямую. Как это
>сделать?
>

на маршрутизаторе
>Параметры:
>ip_forward=1
>
>Настройки iptables пустые. по умолчанию на filter сделано
>
>iptables -P INPUT DROP
>iptables -P FORWARD DROP
>iptables -P OUTPUT DROP

iptables -A FORWARD -s 172.16.13.2 -j ACCEPT
iptables -A FORWARD -s 192.168.13.2 -j ACCEPT

если не хотите обезличивать пакеты, пришедшие из другой подсети , то SNAT не нужен, а если хотите то
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.13.1
iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 172.16.13.1

и читать
http://www.opennet.me/docs/RUS/iptables/

>iptables -A FORWARD -s 172.16.13.2 -j ACCEPT
>iptables -A FORWARD -s 192.168.13.2 -j ACCEPT
>
>если не хотите обезличивать пакеты, пришедшие из другой подсети , то SNAT
>не нужен, а если хотите то
>iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.13.1
>iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 172.16.13.1
>
>и читать
>http://www.opennet.me/docs/RUS/iptables/

Сделал Вашим методом, вроде работает, пакеты через NAT ходят но есть и непонятности.

На скрине видно что запросы идут как от шлюза так и от клиента напрямую. Сомнительное подчеркнул красным:

http://trash.evermore.ru/f/3625_e1f.jpg

>[оверквотинг удален]
>>и читать
>>http://www.opennet.me/docs/RUS/iptables/
>
>Сделал Вашим методом, вроде работает, пакеты через NAT ходят но есть и
>непонятности.
>
>На скрине видно что запросы идут как от шлюза так и от
>клиента напрямую. Сомнительное подчеркнул красным:
>
>http://trash.evermore.ru/f/3625_e1f.jpg

на какой машине и на каком интерфейсе снимался?

>[оверквотинг удален]
>>
>>Сделал Вашим методом, вроде работает, пакеты через NAT ходят но есть и
>>непонятности.
>>
>>На скрине видно что запросы идут как от шлюза так и от
>>клиента напрямую. Сомнительное подчеркнул красным:
>>
>>http://trash.evermore.ru/f/3625_e1f.jpg
>
>на какой машине и на каком интерфейсе снимался?

На машине А. Интерфейс единственный eth1 - 172.16.13.2

>[оверквотинг удален]
>сделать?
>
>Параметры:
>ip_forward=1
>
>Настройки iptables пустые. по умолчанию на filter сделано
>
>iptables -P INPUT DROP
>iptables -P FORWARD DROP
>iptables -P OUTPUT DROP

Попробуй так

iptables -A FORWARD -s 192.168.13.2/32 -d 172.16.13.2/32 -j ACCEPT
iptables -A FORWARD -s 172.16.13.2/32 -d 192.168.13.2/32 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.13.2/32 -d 172.16.13.2/32 -j SNAT --to-source 172.16.13.1
iptables -t nat -A POSTROUTING -s 172.16.13.2/32 -d 192.168.13.2/32 -j SNAT --to-source 192.168.13.1

Вроде должно работать...

>[оверквотинг удален]
>Попробуй так
>
>iptables -A FORWARD -s 192.168.13.2/32 -d 172.16.13.2/32 -j ACCEPT
>iptables -A FORWARD -s 172.16.13.2/32 -d 192.168.13.2/32 -j ACCEPT
>iptables -t nat -A POSTROUTING -s 192.168.13.2/32 -d 172.16.13.2/32 -j SNAT --to-source
>172.16.13.1
>iptables -t nat -A POSTROUTING -s 172.16.13.2/32 -d 192.168.13.2/32 -j SNAT --to-source
>192.168.13.1
>
>Вроде должно работать...

От такая проблемкас :(

http://trash.evermore.ru/f/3625_e1f.jpg

>[оверквотинг удален]
>>iptables -t nat -A POSTROUTING -s 192.168.13.2/32 -d 172.16.13.2/32 -j SNAT --to-source
>>172.16.13.1
>>iptables -t nat -A POSTROUTING -s 172.16.13.2/32 -d 192.168.13.2/32 -j SNAT --to-source
>>192.168.13.1
>>
>>Вроде должно работать...
>
>От такая проблемкас :(
>
>http://trash.evermore.ru/f/3625_e1f.jpg

в iptables -t nat -A POSTROUTING протокол указывали?

>[оверквотинг удален]
>>>iptables -t nat -A POSTROUTING -s 172.16.13.2/32 -d 192.168.13.2/32 -j SNAT --to-source
>>>192.168.13.1
>>>
>>>Вроде должно работать...
>>
>>От такая проблемкас :(
>>
>>http://trash.evermore.ru/f/3625_e1f.jpg
>
>в iptables -t nat -A POSTROUTING протокол указывали?

Нет. Я так думаю если не указать то по умолчанию для всех протоколов правило работает ?

Отбой тревоги. Спасибо ребят вроде все работает :) Я просто тспдампом снифил в promiscious режиме, наверно из-за этого были мысли пошлые о плохой работе гейта :)

http://trash.evermore.ru/f/3632_4b0.jpg