- iptables routing snat+dnat,
 Oyyo, 01:58 , 17-Апр-07 (1)>Есть машина с 2-мя интерфейсами
>на одном реальный ip, на втором внутренний
>на реальный ip с шлюза маршрутизируется подсеть реальных ip адресов.
с какого шлюза? а с какой стороны инет? как "подсеть реальных ip адресов" попадает в инрернет если она пророучена на вас?
>Вопрос: как эти адреса заводить на iptables?
Этот вопрост вообще непонятен
>в циске я поднимаю на эти ip адреса статический нат и они
>обрабатываются.
>В iptables каким образом поступать? надо эти адреса статически пронатить во внутренние,
>
>но как заставить iptables принимать эти пакеты? Алиасами эти ip повесить на
>внешнем интерфейсе? в какую стороны рыть? непонятна сама суть задачи, чтовы хотите сделать?
реальный ИП это значит внешний мир, разрешить кусочку мира ходить к вам в внутреннюю сеть?
или разрешить какие-то сервисы из внутренней сети?
- iptables routing snat+dnat, exn, 02:14 , 17-Апр-07 (2)
Да что тут непонятного ? у человека реальные ипы типа.. вот, поробуйте просто sysctl net.ipv4.ip_forward=1 и iptables -t filter -P FORWARD ACCEPTпо идее все должно заработать.. по идее
- iptables routing snat+dnat, Oyyo, 02:25 , 17-Апр-07 (3)
>Да что тут непонятного ? у человека реальные ипы типа.. вот, поробуйте
>просто sysctl net.ipv4.ip_forward=1 и iptables -t filter -P FORWARD ACCEPT
>
>по идее все должно заработать.. по идее ну это если его машинка является шлюзом для этих реальных ИП
и если эти реальные ИП не держат за собой такую-же серую подсеть
только судя и поста это не так iptables -t filter -P FORWARD ACCEPT - это дыра .....
- iptables routing snat+dnat, exn, 02:45 , 17-Апр-07 (4)
>ну это если его машинка является шлюзом для этих реальных ИП
>и если эти реальные ИП не держат за собой такую-же серую подсеть
>
>только судя и поста это не так
>
>iptables -t filter -P FORWARD ACCEPT - это дыра ..... Ясен пень... я всегда слабо втыкаю в вопросы на форуме.. ну нет во мне благородных
супартовских кровей :D
- iptables routing snat+dnat, Oyyo, 04:11 , 17-Апр-07 (6)
>Есть машина с 2-мя интерфейсами
>на одном реальный ip, на втором внутренний
>на реальный ip с шлюза маршрутизируется подсеть реальных ip адресов.
>Вопрос: как эти адреса заводить на iptables?
>в циске я поднимаю на эти ip адреса статический нат и они
>обрабатываются.
>В iptables каким образом поступать? надо эти адреса статически пронатить во внутренние,
>
>но как заставить iptables принимать эти пакеты? Алиасами эти ip повесить на
>внешнем интерфейсе? в какую стороны рыть?
предпологаю второй вариант вопроса:
у вас есть реальный ИП и есть диапозон реальных ИП который раздаёте на клиентские машины.
Все ИП выданы провайдером, а значит провайдерский роутер знает куда направлять запросы из мира к этим ИП.
Если ваш ИП не принадлежит подсети которую раздаёте, то правила форварда прописываются для них просто
/sbin/iptables -A FORWARD -j ACCEPT -o $ETH_INTERNET -i $ETH_LAN
/sbin/iptables -A FORWARD -j ACCEPT -i $ETH_INTERNET -o $ETH_LAN
вы просто обязаны разрешить все запросы к реальным ИП
$ETH_INTERNET - внешний интерфейс
$ETH_LAN - внутренний интерфейс с подсетью из реальных ИП
и ни каких натов
Если ваш ИП из той-же подсети, что и клиентам раздаёте, то почитайте
http://www.opennet.me/base/net/linux_bridge.txt.html
- iptables routing snat+dnat, Serg_12, 15:21 , 17-Апр-07 (7)
Вообщем у меня есть шлюзeth0 - приватный ip
eth1 - реальный ip на реальный ip маршрутизируется из инета блок реальных ip адресов,
надо пронатить определьенные реальные ip адреса в приватные 1 в 1
то есть статический нат. пробую вот так
/sbin/iptables -t nat -A PREROUTING -d $REAL_IP -i eth1 -j DNAT --to-destination $PRIVATE_IP
/sbin/iptables -t nat -A POSTROUTING -s $PRIVATE_IP -o eth1 -j SNAT --to-source $REAL_IP
не работает...
- iptables routing snat+dnat, Serg_12, 15:31 , 17-Апр-07 (8)
что-то мне подсказывает, что надо алиасить эти ипшники :) - iptables routing snat+dnat, Serg_12, 15:43 , 17-Апр-07 (9)
Мдеее...
заработало все как и писал, просто в IP ошибсямддееее....
надо увольняццооо... спасибо всем :(
|
Версия для распечатки
iptables routing snat+dnat, 
