https://www.opennet.ru/openforum/vsluhforumID10/5102.html Добрый день. имеется сервер виртуализации (Proxmox).<br>На нем есть 3 сетевых интерфейса<br>1. eth0 смотрит в интернет , имеет ip адрес 100.100.100.100.<br>2. eth1 смотрит в локальную сеть, имеет адрес 192.168.31.200.<br>2. vmbr0 виртуальный интерфейс, имеет адрес 10.10.10.1 (к нему подключаются виртуальные машины, они находятся в этой подсети). Доступ к интернету им организован вот так:<br><br>post-up echo 1 &gt; /proc/sys/net/ipv4/ip_forward<br>post-up iptables -t nat -A POSTROUTING -s '10.10.10.0/24' -o eth0 -j MASQUERADE<br>post-down iptables -t nat -D POSTROUTING -s '10.10.10.0/24' -o eth0 -j MASQUERADE<br><br>Также снаружи прокинуты порты для виртуальных машин<br>iptables -A PREROUTING -t nat -i eth0 -p tcp -d 100.100.100.100 --dport 80 -j DNAT --to 10.10.10.10:80<br><br>На один из виртуальных серверов (ip 10.10.10.60) был установлен сервер ivideon, которому одновременно необходим доступ в интернет по порту 443 и выход в локальную сеть к ip камере 192.168.31.201 по порту 5000.<br>Теперь вопрос: каким образом это можно организовать https://www.opennet.ru/openforum/vsluhforumID10/5102.html#5 Thu, 20 Dec 2012 08:51:40 GMT &gt;&gt;&gt;&gt; добавить <br>&gt;&gt;&gt;&gt; post-up iptables -t nat -A POSTROUTING -s '10.10.10.60' -o eth1 -j MASQUERADE <br>&gt;&gt;&gt;&gt; по желанию уточнить порт.<br>&gt;&gt;&gt; Да я так и сделал , добавив при этом -p tcp --dport <br>&gt;&gt;&gt; 5000 <br>&gt;&gt;&gt; Просто я прочитал, что MASQUERADE не очень хороший вариант в плане производительности.<br>&gt;&gt; вместо MASQUERADE использовать SNAT <br>&gt;&gt;&gt; И считается ли данный способ оптимальным?<br>&gt;&gt; нет, на 192.168.31.201 прописать маршрут к 10.10.10.0/24, а nat убрать <br>&gt; но ведь соединение от 10.10.10.60 к ip камере 192.168.31.201 <br><br>маршрут нужен для ответных пакетов<br>&gt; Получается что маршрут нужно будет прописать на 10.10.10.60?<br><br>если 10.10.10.1 не прописан шлюзом по умолчанию<br><br> https://www.opennet.ru/openforum/vsluhforumID10/5102.html#4 Thu, 20 Dec 2012 08:38:41 GMT &gt;&gt;&gt; добавить <br>&gt;&gt;&gt; post-up iptables -t nat -A POSTROUTING -s '10.10.10.60' -o eth1 -j MASQUERADE <br>&gt;&gt;&gt; по желанию уточнить порт.<br>&gt;&gt; Да я так и сделал , добавив при этом -p tcp --dport <br>&gt;&gt; 5000 <br>&gt;&gt; Просто я прочитал, что MASQUERADE не очень хороший вариант в плане производительности.<br>&gt; вместо MASQUERADE использовать SNAT <br>&gt;&gt; И считается ли данный способ оптимальным?<br>&gt; нет, на 192.168.31.201 прописать маршрут к 10.10.10.0/24, а nat убрать <br><br>но ведь соединение от 10.10.10.60 к ip камере 192.168.31.201<br>Получается что маршрут нужно будет прописать на 10.10.10.60?<br><br><br> https://www.opennet.ru/openforum/vsluhforumID10/5102.html#3 Thu, 20 Dec 2012 08:28:41 GMT &gt;&gt; добавить <br>&gt;&gt; post-up iptables -t nat -A POSTROUTING -s '10.10.10.60' -o eth1 -j MASQUERADE <br>&gt;&gt; по желанию уточнить порт.<br>&gt; Да я так и сделал , добавив при этом -p tcp --dport <br>&gt; 5000 <br>&gt; Просто я прочитал, что MASQUERADE не очень хороший вариант в плане производительности.<br><br>вместо MASQUERADE использовать SNAT<br><br>&gt; И считается ли данный способ оптимальным?<br><br>нет, на 192.168.31.201 прописать маршрут к 10.10.10.0/24, а nat убрать<br> https://www.opennet.ru/openforum/vsluhforumID10/5102.html#2 Thu, 20 Dec 2012 05:50:13 GMT &gt; добавить <br>&gt; post-up iptables -t nat -A POSTROUTING -s '10.10.10.60' -o eth1 -j MASQUERADE <br>&gt; по желанию уточнить порт.<br><br>Да я так и сделал , добавив при этом -p tcp --dport 5000<br>Просто я прочитал, что MASQUERADE не очень хороший вариант в плане производительности. И считается ли данный способ оптимальным?<br><br> https://www.opennet.ru/openforum/vsluhforumID10/5102.html#1 Wed, 19 Dec 2012 21:21:36 GMT добавить<br>post-up iptables -t nat -A POSTROUTING -s '10.10.10.60' -o eth1 -j MASQUERADE<br>по желанию уточнить порт.<br>