Здравствуйте!!Есть локальная сеть 192.168.0.0/24
Есть пул внешних адресов X.X.X.X/24есть шлюз, на котором необходимо раздавать внешние адреса на локальные (DNAT SNAT), чтоб пользователи с локальными айпи ходили в инет от своего внешнего адреса и также чтоб из интернета к ним был доступ по назначенному адрессу из внешнего пула.
как сделать это дело средствами iptables??
нужно чтобы все запросы приходящие на любой адрес из внешнего пула обрабатывались на шлюзе и перенаправлялись на локальный адрес!
>
>как сделать это дело средствами iptables??
>нужно чтобы все запросы приходящие на любой адрес из внешнего пула обрабатывались
>на шлюзе и перенаправлялись на локальный адрес!Попробовать начать читать документацию. В ней подробно расписано, в т.ч и с примером, подобным Вашему.
>Попробовать начать читать документацию. В ней подробно расписано, в т.ч и с
>примером, подобным Вашему.Спасибо за очень вдумчивый ответ!
перерыл кучу доку в том числе и руководство по Iptables но вот беда, почти все примеры основанны на сетях которым требуется выход в интернет от одного real ipДруг! дай хотяб ссылочку на ту доку где есть пример с похожей на мой случай, и если ты не поленился сюда написать про то что нужно читать маны, дай не просто ссылку на руководство в сто страниц а еще и название главы в которой об этом пишут
>[оверквотинг удален]
> Спасибо за очень вдумчивый ответ!
>перерыл кучу доку в том числе и руководство по Iptables но вот
>беда, почти все примеры основанны на сетях которым требуется выход в
>интернет от одного real ip
>
>Друг! дай хотяб ссылочку на ту доку где есть пример с похожей
>на мой случай, и если ты не поленился сюда написать про
>то что нужно читать маны, дай не просто ссылку на руководство
>в сто страниц а еще и название главы в которой об
>этом пишутiptables -t nat -A PREROUTING -d 1.2.3.0/24 -j NETMAP --to 5.6.7.0/24
>iptables -t nat -A PREROUTING -d 1.2.3.0/24 -j NETMAP --to 5.6.7.0/24Спасибо за ответ!!
я так понимаю что человек хорошо разбирающийся в каком либо вопросе, вроде тебя, ни когда не станет писать на форум вопрос, так как он все знает!
Но я другое дело я не знаю и пытаюсь спросить тех кто знает, я не хочу отбирать у тебя хлеб которым ты зарабатываешь! но дав мне полноценный ответ ты экономиш время и себе и мне! а если давать ответы которые подразумевают за собой следующий вопрос, то это значит одно либо тебе делать нечего и ты так развлекаешся либо, илиже хочешь направить меня на путь познания, но ни как не дать мне ответ достойный знающего человека!!!
>[оверквотинг удален]
> Спасибо за очень вдумчивый ответ!
>перерыл кучу доку в том числе и руководство по Iptables но вот
>беда, почти все примеры основанны на сетях которым требуется выход в
>интернет от одного real ip
>
>Друг! дай хотяб ссылочку на ту доку где есть пример с похожей
>на мой случай, и если ты не поленился сюда написать про
>то что нужно читать маны, дай не просто ссылку на руководство
>в сто страниц а еще и название главы в которой об
>этом пишуткраткий ман:
http://netfilter.org/documentation/HOWTO/netfilter-extension...
Вообщем решение нашел!EXT_eth - внешний интерфейс на шлюзе
EXT_IP1 - адрес из пула внешних для раздачи пользователям
Local_IP1 - адрес локального пользователяiptables -t nat -A PREROUTING -i EXT_eth -s 0/0 -d EXT_IP1 -j DNAT --to-destination Local_IP1
iptables -t nat -A POSTROUTING -o EXT_eth -s Local_IP1 -d 0/0 -j SNAT --to-source EXT_IP1
iptables -A FORWARD -s Local_IP1 -d 0/0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -s 0/0 -d Local_IP1 -m state --state ESTABLISHED,RELATED -j ACCEPT
все правильно но пока я не добавил альяс на EXT_eth с адресом EXT_IP1, ничего не работало, добавив альяс естественно все заработало. Но вот вопрос как обойти такое не очень красивое решение??Не устраивает то что после добавления всей внешней подсети чтение ifconfig станет не удобным.
чтобы не добовлять альясы нужно прописать
ip a a <IPпул/24> dev EXT_ethСчитаю тему исчерпанной!