Доброго времени суток!
Посоветуйте, как можно реализовать следущее:
Есть сеть 10.0.0.0/8
Обьединяет 2 района. Сегментированна так, что юзеры из одного района не видят юзеров другого района.
В первом сегменте есть сервер, но этот сервер соответственно "видят" юзеры из первого сегмента.
Во втором сегменте сети стоит сервер, и его могут "видеть" юзеры всех сегментов.
IP сервера в первом сегменте 10.10.10.10
IP сервера второго сегмента 10.10.10.17
На 10.10.10.10 подняты httpd+samba+CS+Q3A+MySQL
Так вот задумка организовать НАТ на машине второго сегмента так, чтобы если например юзер обращался на \\10.10.10.17 (по SMB) , то он попадал на 10.10.10.10 и соответственно на все другие сервисы так сделать. Но вот только как? Что посоветуете?
Вот что придумал сам:
iptables -A PREROUTING -t nat -p tcp -m tcp -d 10.10.10.17 --dport 139 -j DNAT --to-destination 10.10.10.10
iptables -A POSTROUTING -s 10.10.10.17 -d 10.0.0.0/255.0.0.0 -j SNAT --to-source 10.10.10.10
но кажись только не прокатит это...
Сделал так:
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT tcp -- 0.0.0.0/0 10.10.10.17 tcp dpt:139 to:10.10.10.10
DNAT udp -- 0.0.0.0/0 10.10.10.17 udp dpt:138 to:10.10.10.10
DNAT udp -- 0.0.0.0/0 10.10.10.17 udp dpt:137 to:10.10.10.10
DNAT udp -- 0.0.0.0/0 10.10.10.17 udp dpt:139 to:10.10.10.10
DNAT tcp -- 0.0.0.0/0 10.10.10.17 tcp dpt:138 to:10.10.10.10
DNAT tcp -- 0.0.0.0/0 10.10.10.17 tcp dpt:137 to:10.10.10.10
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain l (0 references)
target prot opt source destination
но вот только не пашет это дело.
Запускаю tcpdump на той машине из второго сегмента.
root@gate:/# tcpdump -n | grep 10.10.10.10.139
tcpdump: listening on eth0
18:31:23.007325 10.4.30.1.4358 > 10.10.10.10.139: S 824055174:824055174(0) win 64240 <mss 1460,nop,nop,sackOK> (DF)
18:31:25.960090 10.4.30.1.4358 > 10.10.10.10.139: S 824055174:824055174(0) win 64240 <mss 1460,nop,nop,sackOK> (DF)
18:31:31.895662 10.4.30.1.4358 > 10.10.10.10.139: S 824055174:824055174(0) win 64240 <mss 1460,nop,nop,sackOK> (DF)
10.4.30.1 - машина с которой я пытаюсь зайти на \\10.10.10.17
в чем дело, незнаю...
Посмотрел tcpdump-ом куда и откуда ходят пакетики при обращении.
Пакет при обращении DNAT-ится и идет на тот самый файловый сервак. Файловый сервак шлет ответ... но он не идет на ту машину второго сегмента...
ЗЫ: Файловый сервак из первого сегмента на который идет DNAT стоин за NAT-ом. Имеется ввиду то, что на серваке первого сегмента 2 сетевухи.
eth0 - смотрит в сеть 10.0.0.0
eth1 - смотрит в сеть 192.168.0.0 - тут и стоит файловый сервак.
а на серваке iptables:
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT tcp -- 0.0.0.0/0 10.10.10.10 tcp dpt:139 to:192.168.0.2
DNAT udp -- 0.0.0.0/0 10.10.10.10 udp dpt:138 to:192.168.0.2
DNAT udp -- 0.0.0.0/0 10.10.10.10 udp dpt:137 to:192.168.0.2
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
SNAT all -- 192.168.0.2 10.0.0.0/8 to:10.10.10.10
так что в чем дело непойму пока... а у Вас есть каие-либо соображения?
Вариант для распечатки
OpenNET: Виртуальная конференция (Public)
on
18-Май-03, 01:03 (MSK)
