URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 5102
[ Назад ]

Исходное сообщение
"iptables доступ в 2 подсети"
Отправлено ximik666 , 19-Дек-12 23:04

Добрый день. имеется сервер виртуализации (Proxmox).
На нем есть 3 сетевых интерфейса
1. eth0 смотрит в интернет , имеет ip адрес 100.100.100.100.
2. eth1 смотрит в локальную сеть, имеет адрес 192.168.31.200.
2. vmbr0 виртуальный интерфейс, имеет адрес 10.10.10.1 (к нему подключаются виртуальные машины, они находятся в этой подсети). Доступ к интернету им организован вот так:
post-up echo 1 > /proc/sys/net/ipv4/ip_forward
post-up iptables -t nat -A POSTROUTING -s '10.10.10.0/24' -o eth0 -j MASQUERADE
post-down iptables -t nat -D POSTROUTING -s '10.10.10.0/24' -o eth0 -j MASQUERADE
Также снаружи прокинуты порты для виртуальных машин
iptables -A PREROUTING -t nat -i eth0 -p tcp -d 100.100.100.100 --dport 80 -j DNAT --to 10.10.10.10:80
На один из виртуальных серверов (ip 10.10.10.60) был установлен сервер ivideon, которому одновременно необходим доступ в интернет по порту 443 и выход в локальную сеть к ip камере 192.168.31.201 по порту 5000.
Теперь вопрос: каким образом это можно организовать доступ в 2 сети по определенным портам с помощью iptables? Заранее спасибо!

Содержание

iptables доступ в 2 подсети,DearFriend, 01:21 , 20-Дек-12
- iptables доступ в 2 подсети,ximik666, 09:50 , 20-Дек-12
  - iptables доступ в 2 подсети,reader, 12:28 , 20-Дек-12
    - iptables доступ в 2 подсети,ximik666, 12:38 , 20-Дек-12
      - iptables доступ в 2 подсети,reader, 12:51 , 20-Дек-12

Сообщения в этом обсуждении

"iptables доступ в 2 подсети"
Отправлено DearFriend , 20-Дек-12 01:21

добавить
post-up iptables -t nat -A POSTROUTING -s '10.10.10.60' -o eth1 -j MASQUERADE
по желанию уточнить порт.

"iptables доступ в 2 подсети"
Отправлено ximik666 , 20-Дек-12 09:50

> добавить
> post-up iptables -t nat -A POSTROUTING -s '10.10.10.60' -o eth1 -j MASQUERADE
> по желанию уточнить порт.
Да я так и сделал , добавив при этом -p tcp --dport 5000
Просто я прочитал, что MASQUERADE не очень хороший вариант в плане производительности. И считается ли данный способ оптимальным?

"iptables доступ в 2 подсети"
Отправлено reader , 20-Дек-12 12:28

>> добавить
>> post-up iptables -t nat -A POSTROUTING -s '10.10.10.60' -o eth1 -j MASQUERADE
>> по желанию уточнить порт.
> Да я так и сделал , добавив при этом -p tcp --dport
> 5000
> Просто я прочитал, что MASQUERADE не очень хороший вариант в плане производительности.
вместо MASQUERADE использовать SNAT
> И считается ли данный способ оптимальным?
нет, на 192.168.31.201 прописать маршрут к 10.10.10.0/24, а nat убрать

"iptables доступ в 2 подсети"
Отправлено ximik666 , 20-Дек-12 12:38

>>> добавить
>>> post-up iptables -t nat -A POSTROUTING -s '10.10.10.60' -o eth1 -j MASQUERADE
>>> по желанию уточнить порт.
>> Да я так и сделал , добавив при этом -p tcp --dport
>> 5000
>> Просто я прочитал, что MASQUERADE не очень хороший вариант в плане производительности.
> вместо MASQUERADE использовать SNAT
>> И считается ли данный способ оптимальным?
> нет, на 192.168.31.201 прописать маршрут к 10.10.10.0/24, а nat убрать
но ведь соединение от 10.10.10.60 к ip камере 192.168.31.201
Получается что маршрут нужно будет прописать на 10.10.10.60?

"iptables доступ в 2 подсети"
Отправлено reader , 20-Дек-12 12:51

>>>> добавить
>>>> post-up iptables -t nat -A POSTROUTING -s '10.10.10.60' -o eth1 -j MASQUERADE
>>>> по желанию уточнить порт.
>>> Да я так и сделал , добавив при этом -p tcp --dport
>>> 5000
>>> Просто я прочитал, что MASQUERADE не очень хороший вариант в плане производительности.
>> вместо MASQUERADE использовать SNAT
>>> И считается ли данный способ оптимальным?
>> нет, на 192.168.31.201 прописать маршрут к 10.10.10.0/24, а nat убрать
> но ведь соединение от 10.10.10.60 к ip камере 192.168.31.201
маршрут нужен для ответных пакетов
> Получается что маршрут нужно будет прописать на 10.10.10.60?
если 10.10.10.1 не прописан шлюзом по умолчанию