URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 88526
[ Назад ]

Исходное сообщение
"Маршрутизация с алисами интерфейсов"

Отправлено Ramon , 26-Мрт-10 12:36 
Задача
Имеем софтовый роутер CentOS 5.3 с несколькими внешними интерфейсам и несколькими внутренними.
Внешний интерфейс eth0 - Ip Addr 88.x.x.50
На нем алиас eth0:0 - Ip Addr 88.x.x.51
Внутр интерфейс eth2  на нем подняты vlan-ы для раздачи Интернета.
Нас интересует vlan2 - Ip Addr 192.168.2.1
Пользователи сети 192.168.2.0/24 ходят наружу через шлюз 192.168.2.1 и через eth0 88.x.x.50
В этой же сети находится почтовый/веб сервер 192.168.2.100 который тоже ходит наружу через шлюз 192.168.2.1 и через eth0:0 88.x.x.51. На него соответственно проброшены порты 25,80 с Ip 88.x.x.51. Все это работает.

Как сделать чтобы комп из сети 192.168.2.0/24 который не знает структуры сети мог обращаться
к почтовому/веб серверу 192.168.2.100 через его внешний Ip 88.x.x.51?
Т.е. для для компа внутри сети почтовик находится в космосе. Комп через внешний DNS разрешает его Ip и шлёт через 192.168.2.1 пакет на 88.x.x.51. Пробовал делать

iptables -t nat -A PREROUTING s 192.168.2.0/24 -d 88.x.x.51 -p tcp --dport 25 -j DNAT --to 192.168.2.100

не работает.


Содержание

Сообщения в этом обсуждении
"Маршрутизация с алисами интерфейсов"
Отправлено gring , 26-Мрт-10 14:09 
>[оверквотинг удален]
>мог обращаться
>к почтовому/веб серверу 192.168.2.100 через его внешний Ip 88.x.x.51?
>Т.е. для для компа внутри сети почтовик находится в космосе. Комп через
>внешний DNS разрешает его Ip и шлёт через 192.168.2.1 пакет на
>88.x.x.51. Пробовал делать
>
>iptables -t nat -A PREROUTING s 192.168.2.0/24 -d 88.x.x.51 -p tcp --dport
>25 -j DNAT --to 192.168.2.100
>
>не работает.

Полный конфиг iptables покажите

У меня работает так
-A PREROUTING -d 9.xxx.xxx.6  -p tcp -m tcp --dport 110 -j DNAT --to-destination 172.16.32.5

и после этого нужно посмотреть - есть ли приходящие пакеты на mail сервере ?


"Маршрутизация с алисами интерфейсов"
Отправлено Ramon , 30-Мрт-10 12:34 
Решено.

Необходимы
iptables -t nat -A PREROUTING -s 192.168.2.0/24 -d 88.x.x.51 -p tcp --dport 25 -j DNAT --to 192.168.2.100

iptables -t nat -A POSTROUTING -d 192.168.2.100 -o vlan2 -j SNAT --to-source 192.168.2.1

iptables -A FORWARD -i vlan2 -o vlan2 -d 192.168.2.100 -j ACCEPT
iptables -A FORWARD -i vlan2 -o vlan2 -s 192.168.2.100 -j ACCEPT