https://ssl.opennet.dev/openforum/vsluhforumID1/76468.html Как сделать, чтобы не подменялся ip адрес, приходящий с LAN интерфейса ip адресом WAN интерфейса, а проходил дальше до следующего звена в неизмененном виде с помощью IPTABLES <br>У меня на LAN интерфейсе алиасы разных подсетей. Надо подсети с публичными ip адресами сделать доступными из-вне<br> https://ssl.opennet.dev/openforum/vsluhforumID1/76468.html#9 Mon, 01 Oct 2007 12:28:51 GMT &gt;[оверквотинг удален]<br>&gt;&gt;У меня срабатывает правило <br>&gt;&gt;-A POSTROUTING -s $PUBLIC_NET -d ! $PUBLIC_NET -j SNAT --to -source WAN_IP <br>&gt;&gt;<br>&gt;&gt;но не срабатывает теперь правило <br>&gt;&gt;-A POSTROUTING -s 192.168.1.0/255.255.255.0 -d ! 192.168.1.0/255.255.255.0 -j SNAT --to -source WAN_IP <br>&gt;&gt;<br>&gt;&gt;не выходят на WAN_IP внутренние ip адреса. Может их не натить? <br>&gt;<br>&gt;если подсеть 192.168.1.0/255.255.255.0 выпускаете в инет через WAN_IP, то нужно натить иначе, <br>&gt;провайдер или на каком нибуть следующем маршрутизаторе, эти пакеты убьют <br><br>Конечно натить внутренние ip мне надо и мне все равно что с ними бюудет за WAN интерфейсом, а вот публичные подсети, которых несколько мненадо пропускать без маскирования, без подмены адресов WAN ip адресом. Вот и вопрос - почему внутренние ip не выходят в интернет через WAN_IP? С внешними разобрался - все выходят и пингуются. Помог SNAT<br> https://ssl.opennet.dev/openforum/vsluhforumID1/76468.html#8 Mon, 01 Oct 2007 12:15:08 GMT 1<br>&gt;У меня срабатывает правило <br>&gt;-A POSTROUTING -s $PUBLIC_NET -d ! $PUBLIC_NET -j SNAT --to -source WAN_IP <br>&gt;<br>&gt;но не срабатывает теперь правило <br>&gt;-A POSTROUTING -s 192.168.1.0/255.255.255.0 -d ! 192.168.1.0/255.255.255.0 -j SNAT --to -source WAN_IP <br>&gt;<br>&gt;не выходят на WAN_IP внутренние ip адреса. Может их не натить? <br><br>если подсеть 192.168.1.0/255.255.255.0 выпускаете в инет через WAN_IP, то нужно натить иначе, провайдер или на каком нибуть следующем маршрутизаторе, эти пакеты убьют<br> https://ssl.opennet.dev/openforum/vsluhforumID1/76468.html#7 Mon, 01 Oct 2007 08:27:06 GMT У меня срабатывает правило <br>-A POSTROUTING -s $PUBLIC_NET -d ! $PUBLIC_NET -j SNAT --to -source WAN_IP<br>но не срабатывает теперь правило <br>-A POSTROUTING -s 192.168.1.0/255.255.255.0 -d ! 192.168.1.0/255.255.255.0 -j SNAT --to -source WAN_IP<br>не выходят на WAN_IP внутренние ip адреса. Может их не натить? <br> https://ssl.opennet.dev/openforum/vsluhforumID1/76468.html#6 Mon, 01 Oct 2007 07:43:49 GMT &gt;&gt;а с LAN интерфейса какие ip источника? <br>&gt;<br>&gt;публичный адрес <br><br>-A POSTROUTING -o WAN_интерфейса -s ! LAN_IP -j SNAT --to -source 195.195.195.195<br>не будет подмены адреса источника в пакетах уходящих через WAN_интерфейса с адресом LAN_IP, остальные будут нататься<br> https://ssl.opennet.dev/openforum/vsluhforumID1/76468.html#5 Mon, 01 Oct 2007 06:12:12 GMT &gt;а с LAN интерфейса какие ip источника? <br><br>публичный адрес <br> https://ssl.opennet.dev/openforum/vsluhforumID1/76468.html#4 Fri, 28 Sep 2007 13:47:22 GMT а с LAN интерфейса какие ip источника?<br> https://ssl.opennet.dev/openforum/vsluhforumID1/76468.html#3 Fri, 28 Sep 2007 10:02:45 GMT Может быть надо не всю подсеть переадресовывать с помощью SNAT а каждый ip адрес подсети со своим правилом / Так я думаю?<br>???<br>например<br>-A POSTROUTING -s 192.168.0.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -j<br>SNAT --to -source 195.195.195.195<br>-A POSTROUTING -s 212.74.222.145/255.255.255.240 -d 212.74.222.145/255.255.255.240 -j SNAT --to -source 195.195.195.195<br>-A POSTROUTING -s 212.74.222.146/255.255.255.240 -d 212.74.222.146/255.255.255.240 -j SNAT --to -source 195.195.195.195<br>etc<br> https://ssl.opennet.dev/openforum/vsluhforumID1/76468.html#2 Fri, 28 Sep 2007 09:49:34 GMT &gt;в SNAT указать ip, которые не нужно натить <br><br>У меня схема такая <br>*filter <br>:INPUT ACCEPT [6119:344155] <br>:FORWARD ACCEPT [1685:1247089] <br>:OUTPUT ACCEPT [13109:4296753] <br>:server_name - [0:0] <br>-A FORWARD -j server_name <br><br>COMMIT <br>*nat <br>:PREROUTING ACCEPT [3502:172884] <br>:POSTROUTING ACCEPT [106:6858] <br>:OUTPUT ACCEPT [85:5718] <br>-A POSTROUTING -s 192.168.0.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -j<br>SNAT --to -source 195.195.195.195<br>-A POSTROUTING -s 212.74.222.144/255.255.255.240 -d 212.74.222.144/255.255.255.240 -j<br>SNAT --to -source 195.195.195.195<br><br>где 195,195,195,195 - WAN_if сервера server_name<br>В этом случае ip адреса подсети 212.74.222.144/28 не пингуются снаружи WAN_if<br>Какой правильный синтаксис для правила SNAT в моем случае?<br> https://ssl.opennet.dev/openforum/vsluhforumID1/76468.html#1 Fri, 28 Sep 2007 08:39:04 GMT в SNAT указать ip, которые не нужно натить<br>