- iptables routing snat+dnat, Oyyo, 01:58 , 17-Апр-07 (1)
>Есть машина с 2-мя интерфейсами >на одном реальный ip, на втором внутренний >на реальный ip с шлюза маршрутизируется подсеть реальных ip адресов. с какого шлюза? а с какой стороны инет? как "подсеть реальных ip адресов" попадает в инрернет если она пророучена на вас? >Вопрос: как эти адреса заводить на iptables? Этот вопрост вообще непонятен >в циске я поднимаю на эти ip адреса статический нат и они >обрабатываются. >В iptables каким образом поступать? надо эти адреса статически пронатить во внутренние, > >но как заставить iptables принимать эти пакеты? Алиасами эти ip повесить на >внешнем интерфейсе? в какую стороны рыть? непонятна сама суть задачи, чтовы хотите сделать? реальный ИП это значит внешний мир, разрешить кусочку мира ходить к вам в внутреннюю сеть? или разрешить какие-то сервисы из внутренней сети?
- iptables routing snat+dnat, exn, 02:14 , 17-Апр-07 (2)
Да что тут непонятного ? у человека реальные ипы типа.. вот, поробуйте просто sysctl net.ipv4.ip_forward=1 и iptables -t filter -P FORWARD ACCEPTпо идее все должно заработать.. по идее
- iptables routing snat+dnat, Oyyo, 02:25 , 17-Апр-07 (3)
>Да что тут непонятного ? у человека реальные ипы типа.. вот, поробуйте >просто sysctl net.ipv4.ip_forward=1 и iptables -t filter -P FORWARD ACCEPT > >по идее все должно заработать.. по идее ну это если его машинка является шлюзом для этих реальных ИП и если эти реальные ИП не держат за собой такую-же серую подсеть только судя и поста это не так iptables -t filter -P FORWARD ACCEPT - это дыра .....
- iptables routing snat+dnat, exn, 02:45 , 17-Апр-07 (4)
>ну это если его машинка является шлюзом для этих реальных ИП >и если эти реальные ИП не держат за собой такую-же серую подсеть > >только судя и поста это не так > >iptables -t filter -P FORWARD ACCEPT - это дыра ..... Ясен пень... я всегда слабо втыкаю в вопросы на форуме.. ну нет во мне благородных супартовских кровей :D
- iptables routing snat+dnat, Oyyo, 04:11 , 17-Апр-07 (6)
>Есть машина с 2-мя интерфейсами >на одном реальный ip, на втором внутренний >на реальный ip с шлюза маршрутизируется подсеть реальных ip адресов. >Вопрос: как эти адреса заводить на iptables? >в циске я поднимаю на эти ip адреса статический нат и они >обрабатываются. >В iptables каким образом поступать? надо эти адреса статически пронатить во внутренние, > >но как заставить iptables принимать эти пакеты? Алиасами эти ip повесить на >внешнем интерфейсе? в какую стороны рыть? предпологаю второй вариант вопроса: у вас есть реальный ИП и есть диапозон реальных ИП который раздаёте на клиентские машины. Все ИП выданы провайдером, а значит провайдерский роутер знает куда направлять запросы из мира к этим ИП. Если ваш ИП не принадлежит подсети которую раздаёте, то правила форварда прописываются для них просто /sbin/iptables -A FORWARD -j ACCEPT -o $ETH_INTERNET -i $ETH_LAN /sbin/iptables -A FORWARD -j ACCEPT -i $ETH_INTERNET -o $ETH_LAN вы просто обязаны разрешить все запросы к реальным ИП $ETH_INTERNET - внешний интерфейс $ETH_LAN - внутренний интерфейс с подсетью из реальных ИП и ни каких натов
Если ваш ИП из той-же подсети, что и клиентам раздаёте, то почитайте http://www.opennet.me/base/net/linux_bridge.txt.html
- iptables routing snat+dnat, Serg_12, 15:21 , 17-Апр-07 (7)
Вообщем у меня есть шлюзeth0 - приватный ip eth1 - реальный ip на реальный ip маршрутизируется из инета блок реальных ip адресов, надо пронатить определьенные реальные ip адреса в приватные 1 в 1 то есть статический нат. пробую вот так /sbin/iptables -t nat -A PREROUTING -d $REAL_IP -i eth1 -j DNAT --to-destination $PRIVATE_IP /sbin/iptables -t nat -A POSTROUTING -s $PRIVATE_IP -o eth1 -j SNAT --to-source $REAL_IP не работает...
- iptables routing snat+dnat, Serg_12, 15:31 , 17-Апр-07 (8)
что-то мне подсказывает, что надо алиасить эти ипшники :) - iptables routing snat+dnat, Serg_12, 15:43 , 17-Апр-07 (9)
Мдеее... заработало все как и писал, просто в IP ошибсямддееее.... надо увольняццооо... спасибо всем :(
|