 iptables доступ в 2 подсети,  ximik666, 19-Дек-12, 23:04 [смотреть все]Добрый день. имеется сервер виртуализации (Proxmox).
На нем есть 3 сетевых интерфейса
1. eth0 смотрит в интернет , имеет ip адрес 100.100.100.100.
2. eth1 смотрит в локальную сеть, имеет адрес 192.168.31.200.
2. vmbr0 виртуальный интерфейс, имеет адрес 10.10.10.1 (к нему подключаются виртуальные машины, они находятся в этой подсети). Доступ к интернету им организован вот так:post-up echo 1 > /proc/sys/net/ipv4/ip_forward
post-up iptables -t nat -A POSTROUTING -s '10.10.10.0/24' -o eth0 -j MASQUERADE
post-down iptables -t nat -D POSTROUTING -s '10.10.10.0/24' -o eth0 -j MASQUERADE Также снаружи прокинуты порты для виртуальных машин
iptables -A PREROUTING -t nat -i eth0 -p tcp -d 100.100.100.100 --dport 80 -j DNAT --to 10.10.10.10:80 На один из виртуальных серверов (ip 10.10.10.60) был установлен сервер ivideon, которому одновременно необходим доступ в интернет по порту 443 и выход в локальную сеть к ip камере 192.168.31.201 по порту 5000.
Теперь вопрос: каким образом это можно организовать доступ в 2 сети по определенным портам с помощью iptables? Заранее спасибо!
|
- iptables доступ в 2 подсети, DearFriend, 01:21 , 20-Дек-12 (1)
добавить
post-up iptables -t nat -A POSTROUTING -s '10.10.10.60' -o eth1 -j MASQUERADE
по желанию уточнить порт.
- iptables доступ в 2 подсети, ximik666, 09:50 , 20-Дек-12 (2)
> добавить
> post-up iptables -t nat -A POSTROUTING -s '10.10.10.60' -o eth1 -j MASQUERADE
> по желанию уточнить порт.Да я так и сделал , добавив при этом -p tcp --dport 5000
Просто я прочитал, что MASQUERADE не очень хороший вариант в плане производительности. И считается ли данный способ оптимальным?
- iptables доступ в 2 подсети, reader, 12:28 , 20-Дек-12 (3)
>> добавить
>> post-up iptables -t nat -A POSTROUTING -s '10.10.10.60' -o eth1 -j MASQUERADE
>> по желанию уточнить порт.
> Да я так и сделал , добавив при этом -p tcp --dport
> 5000
> Просто я прочитал, что MASQUERADE не очень хороший вариант в плане производительности.вместо MASQUERADE использовать SNAT > И считается ли данный способ оптимальным? нет, на 192.168.31.201 прописать маршрут к 10.10.10.0/24, а nat убрать
- iptables доступ в 2 подсети, ximik666, 12:38 , 20-Дек-12 (4)
>>> добавить
>>> post-up iptables -t nat -A POSTROUTING -s '10.10.10.60' -o eth1 -j MASQUERADE
>>> по желанию уточнить порт.
>> Да я так и сделал , добавив при этом -p tcp --dport
>> 5000
>> Просто я прочитал, что MASQUERADE не очень хороший вариант в плане производительности.
> вместо MASQUERADE использовать SNAT
>> И считается ли данный способ оптимальным?
> нет, на 192.168.31.201 прописать маршрут к 10.10.10.0/24, а nat убрать но ведь соединение от 10.10.10.60 к ip камере 192.168.31.201
Получается что маршрут нужно будет прописать на 10.10.10.60?
- iptables доступ в 2 подсети, reader, 12:51 , 20-Дек-12 (5)
>>>> добавить
>>>> post-up iptables -t nat -A POSTROUTING -s '10.10.10.60' -o eth1 -j MASQUERADE
>>>> по желанию уточнить порт.
>>> Да я так и сделал , добавив при этом -p tcp --dport
>>> 5000
>>> Просто я прочитал, что MASQUERADE не очень хороший вариант в плане производительности.
>> вместо MASQUERADE использовать SNAT
>>> И считается ли данный способ оптимальным?
>> нет, на 192.168.31.201 прописать маршрут к 10.10.10.0/24, а nat убрать
> но ведь соединение от 10.10.10.60 к ip камере 192.168.31.201 маршрут нужен для ответных пакетов
> Получается что маршрут нужно будет прописать на 10.10.10.60? если 10.10.10.1 не прописан шлюзом по умолчанию
|
Версия для распечатки
