URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 83566
[ Назад ]
Исходное сообщение
"Домовая сеть локалка провайдера + интернет (проблемма)"
Отправлено incognet , 05-Янв-09 00:33 
Здравствуйте добрые люди. Вот  такая проблема надо локальную сеть (в дальнейшем домовую сеть) завернуть частично в интернет, а частично в локальную сеть провайдера.
Что я инею: 1) машина в качестве шлюза,
2) на ней 2 сетивухи, eth0 – смотрит в домовую сеть , eth1 – в локалку провайдера. И ppp0 – VPN, смотрит в итернет.
3) прописаны ролты и на самой машине когда идеш в локалку провайдера или в интернет все правильно происходит , это подтверждает traceroute
4) для домовой сети (192.168.10.0/24) итернет и локалка раздается через nat , вот тут вот и проблемы возникают.

Если прописать
*nat
-A POSTROUTING -o eth1 -s 192.168.10.0/24 -j SNAT --to-source 10.10.10.10
Разумеется все заворачивается в локалку провайдера и нет интернета
А если завернуть в ppp то почемуто нет локальной сети (хотя у провайдера доступна локалка и через VPN)
-A POSTROUTING -s 192.168.10.0/24 -o ppp+ -j MASQUERADE

Вобщем вопрос, как можно правильно завернуть локальные адреса в локалку а все остольное в итернет.
Есть ролты но они совершенно не работают при приписывании nat или я чегото еще не сделал ?

Подскажите пожалуйста.

ПС
Планирую еще заиметь один канал от друга провайдера это будет eth2 и у него буде тоже небольшая локальная сеть вот вопрос как написать маршруты чтоб определенные адреса заворачивались в нужные сети или ppp0

Содержание
Сообщения в этом обсуждении
"Домовая сеть локалка провайдера + интернет (проблемма)"
Отправлено Oyyo , 05-Янв-09 03:14 
>[оверквотинг удален]
>провайдера доступна локалка и через VPN)
>-A POSTROUTING -s 192.168.10.0/24 -o ppp+ -j MASQUERADE
>
>Вобщем вопрос, как можно правильно завернуть локальные адреса в локалку а все
>остольное в итернет.
>Есть ролты но они совершенно не работают при приписывании nat или я
>чегото еще не сделал ?
>
>Подскажите пожалуйста.
>

для серых адресов локалки провайдера прописать спец маршрут
>ПС
>Планирую еще заиметь один канал от друга провайдера это будет eth2 и
>у него буде тоже небольшая локальная сеть вот вопрос как написать
>маршруты чтоб определенные адреса заворачивались в нужные сети или ppp0

если ИП адреса локалки втрого прова будут из того-же диапозона подсетей что и у первого
то это не решаемо, разве, что для отделных серверов (http, ftp и т.д.) если ИП разные
то можно разрулить
если нужна конкретика, вывод
route -n
iptables -L -vn
iptables -t nat -L -vn
в студию

"Домовая сеть локалка провайдера + интернет (проблемма)"
Отправлено incognet , 05-Янв-09 04:29 
>если ИП адреса локалки втрого прова будут из того-же диапозона подсетей что
>и у первого
>то это не решаемо, разве, что для отделных серверов (http, ftp и
>т.д.) если ИП разные
>то можно разрулить
>если нужна конкретика, вывод
>route -n
>iptables -L -vn
>iptables -t nat -L -vn
>в студию

#route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
1.2.3.4         0.0.0.0         255.255.255.255 UH    0      0        0 ppp0
10.10.10.1      0.0.0.0         255.255.255.192 U     1      0        0 eth1
192.168.7.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
194.62.0.0      10.10.10.10     255.255.255.0   UG    0      0        0 eth1
232.0.0.0       10.10.10.10     255.255.255.0   UG    0      0        0 eth1
217.113.112.0   10.10.10.10     255.255.240.0   UG    0      0        0 eth1
87.250.224.0    10.10.10.10     255.255.224.0   UG    0      0        0 eth1
217.77.96.0     10.10.10.10     255.255.224.0   UG    0      0        0 eth1
195.144.192.0   10.10.10.10     255.255.224.0   UG    0      0        0 eth1
213.178.32.0    10.10.10.10     255.255.224.0   UG    0      0        0 eth1
213.180.192.0   10.10.10.10     255.255.224.0   UG    0      0        0 eth1
77.88.0.0       10.10.10.10     255.255.192.0   UG    0      0        0 eth1
93.158.128.0    10.10.10.10     255.255.192.0   UG    0      0        0 eth1
169.254.0.0     0.0.0.0         255.255.0.0     U     0      0        0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U     1      0        0 eth1
192.168.0.0     10.10.10.10     255.255.0.0     UG    0      0        0 eth1
172.16.0.0      10.10.10.10     255.240.0.0     UG    0      0        0 eth1
10.0.0.0        10.10.10.10     255.0.0.0       UG    0      0        0 eth1
0.0.0.0         1.2.3.4         0.0.0.0         UG    0      0        0 ppp0
0.0.0.0         10.5.134.65     0.0.0.0         UG    1      0        0 eth1
0.0.0.0         192.168.10.1    0.0.0.0         UG    5      0        0 eth0
ролтов значительно больше но нестану грузить ненужностями, главное принцип...


iptables -t nat -L -vn
Chain PREROUTING (policy ACCEPT 1763K packets, 87M bytes)
pkts bytes target     prot opt in     out     source               destination

Chain POSTROUTING (policy ACCEPT 338K packets, 21M bytes)
pkts bytes target     prot opt in     out     source               destination
   42  2016 MASQUERADE  0    --  *      ppp+    192.168.10.0/24     0.0.0.0/0

Chain OUTPUT (policy ACCEPT 338K packets, 21M bytes)
pkts bytes target     prot opt in     out     source               destination


правила там не слабые iptables -L -vn там, дабы такую батарею сюда не валить
http://narod.ru/disk/4777047000/iptables-L-vn.7z.html

"Домовая интернеть провайдера + локалка сет (трабблема)"
Отправлено Andrey Mitrofanov , 05-Янв-09 11:32 
>Если прописать
>*nat
>-A POSTROUTING -o eth1 -s 192.168.10.0/24 -j SNAT --to-source 10.10.10.10
>Разумеется все заворачивается в локалку провайдера и нет интернета

-A POSTROUTING -o eth1 -s 192.168.10.0/24 -d 10.0.0.0/8 -j SNAT --to-source 10.10.10.10

Это магия!!! А кто будет немытыми руками трогать правила и болты iptables... у-у-у!!!... призовёт на свою... эээ... голову проклятие Великого Нетинтернета! у-у-у!!! а-а-а! Ну, и т.д.

"Домовая интеркать прорабдера + лемелка сет (твайблона)"
Отправлено Andrey Mitrofanov , 05-Янв-09 11:38 
>-A POSTROUTING -o eth1 -s 192.168.10.0/24 -d 10.0.0.0/8 -j SNAT --to-source 10.10.10.10

С другой стороны, для того вида магии, что в евойной таблице роутинга, больше побойдёт гуано летучей мышьки:

-A POSTROUTING -o eth1 -s 192.168.10.0/24 -o eth1 -j SNAT --to-source 10.10.10.10

Но и тогда сомнения насчёт to-source 10.10.10.10 не оставляют меня. %))

>Это магия!!! А кто будет немытыми руками
>Ну, и т.д.

"Домовая интернеть провайдера + локалка сет (трабблема)"
Отправлено incognet , 05-Янв-09 18:15 
>>Если прописать
>>-A POSTROUTING -o eth1 -s 192.168.10.0/24 -j SNAT --to-source 10.10.10.10
>>Разумеется все заворачивается в локалку провайдера и нет интернета
>
>-A POSTROUTING -o eth1 -s 192.168.10.0/24 -d 10.0.0.0/8 -j SNAT --to-source 10.10.10.10
>
>Это магия!!! А кто будет немытыми руками трогать правила и болты iptables...
>у-у-у!!!... призовёт на свою... эээ... голову проклятие Великого Нетинтернета!

Собственно я так пока и сделал
-A POSTROUTING -o eth1 -s 192.168.10.0/24 -d {локальные адреса} -j SNAT --to-source 10.10.10.10
Но там в ролтах около 30 правил, и следовательно эту муть пришлось в nat по прописывать, вот и представите батарею в 30 -A POSTROUTING -o eth1 -s 192.168.10.0/24 -d {локальные адреса} -j SNAT --to-source 10.10.10.10
А потом в конце -A POSTROUTING -s 192.168.10.0/24 -o ppp+ -j MASQUERADE
Выглядит какой-то порнографией, неужели нет способа культурнее все это реализовать? Для чего же тогда ролты нужны (только для локалхоста?) можно как то заставить nat правила слушается на ролтов?

ПС
Э-Э-Э, а что буди если в nat правилах завернуть на lo ??
Скажим вот так…
-A POSTROUTING -o lo -s 192.168.10.0/24 -j SNAT --to-source 127.0.0.1
но конкретно это правело не работает, к сожелениюи :-( да и секюрьность при этом какая будет...