forum.opennet.ru - "Iptables vs. SNAT/DNAT" (8)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Iptables vs. SNAT/DNAT"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Iptables vs. SNAT/DNAT"
Сообщение от Simps (ok) on 27-Фев-07, 11:21
В то время как космические корабли бороздят просторы вселенной, мне стыдно признаться, но я не могу завести SNAT/DNAT на linux =( есть: Ubuntu Server 6.10, iptables v1.3.5 Два интерфейса: внешний eth0 и внутренний eth2. На внутреннем интерфейсе сеть 10.0.0.0/30 для линковки с другим маршрутизатором (FreeBSD). На FreeBSD с помощью ipfw'ного fwd форвардится сеть 192.168.0.0/16 на Ubuntu. На Ubuntu пытаюсь сделать SNAT на эту сеть: $IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to диапозон_внешних_адресов В итоге tcpdump'ом на eth2, на Ubuntu, я вижу что пакеты с 192.168.0.0/16 приходят и на этом всё для них заканчивается. SNAT не работает. Пробовал и DNAT на eth2, тоже самое - пакеты вижу и не работает! В чем может быть проблема? Грешу на какую нибудь параноидальную защиту ибо больше ничего на ум не приходит. ip_forwarding включен. Более того "ping -S 192.168.52.23 www.ru" работает и счетчики на правиле SNAT тикают!
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Iptables vs. SNAT/DNAT, Virtual, 11:54 , 27-Фев-07, (1)

Iptables vs. SNAT/DNAT, Simps, 11:59 , 27-Фев-07, (2)
Iptables vs. SNAT/DNAT, Virtual, 12:00 , 27-Фев-07, (3)

Iptables vs. SNAT/DNAT, Virtual, 12:02 , 27-Фев-07, (4)
Iptables vs. SNAT/DNAT, Virtual, 12:11 , 27-Фев-07, (5)

Iptables vs. SNAT/DNAT, Simps, 12:13 , 27-Фев-07, (6)

Iptables vs. SNAT/DNAT, Virtual, 12:19 , 27-Фев-07, (7)

Iptables vs. SNAT/DNAT, KRIM, 09:19 , 28-Фев-07, (8)

Сообщения по теме [Сортировка по времени, UBB]

1. "Iptables vs. SNAT/DNAT"

Сообщение от Virtual (??) on 27-Фев-07, 11:54

>В то время как космические корабли бороздят просторы вселенной, мне стыдно признаться,
>но я не могу завести SNAT/DNAT на linux =(
>
>есть: Ubuntu Server 6.10, iptables v1.3.5
>
>Два интерфейса: внешний eth0 и внутренний eth2. На внутреннем интерфейсе сеть 10.0.0.0/30
>для линковки с другим маршрутизатором (FreeBSD). На FreeBSD с помощью ipfw'ного
>fwd форвардится сеть 192.168.0.0/16 на Ubuntu. На Ubuntu пытаюсь сделать SNAT
>на эту сеть:
>$IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to диапозон_внешних_адресов
>
>В итоге tcpdump'ом на eth2, на Ubuntu, я вижу что пакеты с
>192.168.0.0/16 приходят и на этом всё для них заканчивается. SNAT не
>работает. Пробовал и DNAT на eth2, тоже самое - пакеты вижу
>и не работает! В чем может быть проблема? Грешу на какую
>нибудь параноидальную защиту ибо больше ничего на ум не приходит. ip_forwarding
>включен. Более того "ping -S 192.168.52.23 www.ru" работает и счетчики на
>правиле SNAT тикают!
глянь парметр
ip_forward=
в файле /etc/network/optoins
поставь его в yes
ip_forward=yes
ну ребут потом и вроде все должно зашевелиться

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Iptables vs. SNAT/DNAT"

Сообщение от Simps (ok) on 27-Фев-07, 11:59

>>В то время как космические корабли бороздят просторы вселенной, мне стыдно признаться,
>>но я не могу завести SNAT/DNAT на linux =(
>>
>>есть: Ubuntu Server 6.10, iptables v1.3.5
>>
>>Два интерфейса: внешний eth0 и внутренний eth2. На внутреннем интерфейсе сеть 10.0.0.0/30
>>для линковки с другим маршрутизатором (FreeBSD). На FreeBSD с помощью ipfw'ного
>>fwd форвардится сеть 192.168.0.0/16 на Ubuntu. На Ubuntu пытаюсь сделать SNAT
>>на эту сеть:
>>$IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to диапозон_внешних_адресов
>>
>>В итоге tcpdump'ом на eth2, на Ubuntu, я вижу что пакеты с
>>192.168.0.0/16 приходят и на этом всё для них заканчивается. SNAT не
>>работает. Пробовал и DNAT на eth2, тоже самое - пакеты вижу
>>и не работает! В чем может быть проблема? Грешу на какую
>>нибудь параноидальную защиту ибо больше ничего на ум не приходит. ip_forwarding
>>включен. Более того "ping -S 192.168.52.23 www.ru" работает и счетчики на
>>правиле SNAT тикают!
>
>глянь парметр
>ip_forward=
>в файле /etc/network/optoins
>поставь его в yes
>ip_forward=yes
>ну ребут потом и вроде все должно зашевелиться
Это было первое на что я грешил, и оно включено

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Iptables vs. SNAT/DNAT"

Сообщение от Virtual (??) on 27-Фев-07, 12:00

>>В то время как космические корабли бороздят просторы вселенной, мне стыдно признаться,
>>но я не могу завести SNAT/DNAT на linux =(
>>
>>есть: Ubuntu Server 6.10, iptables v1.3.5
>>
>>Два интерфейса: внешний eth0 и внутренний eth2. На внутреннем интерфейсе сеть 10.0.0.0/30
>>для линковки с другим маршрутизатором (FreeBSD). На FreeBSD с помощью ipfw'ного
>>fwd форвардится сеть 192.168.0.0/16 на Ubuntu. На Ubuntu пытаюсь сделать SNAT
>>на эту сеть:
>>$IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to диапозон_внешних_адресов
>>
>>В итоге tcpdump'ом на eth2, на Ubuntu, я вижу что пакеты с
>>192.168.0.0/16 приходят и на этом всё для них заканчивается. SNAT не
>>работает. Пробовал и DNAT на eth2, тоже самое - пакеты вижу
>>и не работает! В чем может быть проблема? Грешу на какую
>>нибудь параноидальную защиту ибо больше ничего на ум не приходит. ip_forwarding
>>включен. Более того "ping -S 192.168.52.23 www.ru" работает и счетчики на
>>правиле SNAT тикают!
>
>глянь парметр
>ip_forward=
>в файле /etc/network/optoins
>поставь его в yes
>ip_forward=yes
>ну ребут потом и вроде все должно зашевелиться
извеняюсь невнимательно прочитал, может правило не правильно пишеш?
попробуй так
IPTABLES -t nat -A POSTROUTING -o <IP адрес FreeBSD> -j SNAT --to-source <IP адрес eth2>
пакеты с фри должны проваливаться
попробуй прописывать не по имени интерфейса а по IP
с DNATом намного сложнее

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Iptables vs. SNAT/DNAT"

Сообщение от Virtual (??) on 27-Фев-07, 12:02

опять ошибся
>IPTABLES -t nat -A POSTROUTING -s <IP адрес FreeBSD> -j SNAT --to-source <IP адрес eth2>

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Iptables vs. SNAT/DNAT"

Сообщение от Virtual (??) on 27-Фев-07, 12:11

если схема такая
eth0<UBINTU>eth2----FreeBSD
то для трансляции пакетов через убунту от фри на eth0
IPTABLES -t nat -A POSTROUTING -s <IP адрес FreeBSD> -j SNAT --to-source <IP адрес eth0>
и обратно с eth0 через убунту на фрю
IPTABLES -t nat -A PREROUTING -p ALL -d <IP адрес eth0> -j DNAT --to-destination <IP адрес FreeBSD>

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Iptables vs. SNAT/DNAT"

Сообщение от Simps (ok) on 27-Фев-07, 12:13

>если схема такая
>
>eth0<UBINTU>eth2----FreeBSD
>
>то для трансляции пакетов через убунту от фри на eth0
>
>IPTABLES -t nat -A POSTROUTING -s <IP адрес FreeBSD> -j SNAT --to-source <IP адрес eth0>
>
>и обратно с eth0 через убунту на фрю
>
>IPTABLES -t nat -A PREROUTING -p ALL -d <IP адрес eth0> -j DNAT --to-destination <IP адрес FreeBSD>

Фишка в том что адрес FreeBSD к SNAT отношения не имеет. FreeBSD форвардит сетки которые нужно натить. Например 192.168.0.0/16, 172.20.0.0/12 и тд ...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Iptables vs. SNAT/DNAT"

Сообщение от Virtual (??) on 27-Фев-07, 12:19

>>если схема такая
>>
>>eth0<UBINTU>eth2----FreeBSD
>>
>>то для трансляции пакетов через убунту от фри на eth0
>>
>>IPTABLES -t nat -A POSTROUTING -s <IP адрес FreeBSD> -j SNAT --to-source <IP адрес eth0>
>>
>>и обратно с eth0 через убунту на фрю
>>
>>IPTABLES -t nat -A PREROUTING -p ALL -d <IP адрес eth0> -j DNAT --to-destination <IP адрес FreeBSD>
>
>
>Фишка в том что адрес FreeBSD к SNAT отношения не имеет. FreeBSD
>форвардит сетки которые нужно натить. Например 192.168.0.0/16, 172.20.0.0/12 и тд ...
>
тогда так
IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/16 -j SNAT --to-source <IP адрес eth0>
IPTABLES -t nat -A POSTROUTING -s 172.20.0.0/16 -j SNAT --to-source <IP адрес eth0>
для каждой сети по правилу, а вот обратно DNAT тут уже нужно думать кому какой порт на какой IP

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Iptables vs. SNAT/DNAT"

Сообщение от KRIM on 28-Фев-07, 09:19

а в Ubuntu таблица FORWARD по умолчанию как настроена?
надо либо все разрешиать, либо под НАТ и сетки делать отдельные правила.
Если мысль не ясна напишу конкретные правила, сейчас влом. :))
удачи

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Iptables vs. SNAT/DNAT"
Сообщение от Virtual (??) on 27-Фев-07, 11:54
>В то время как космические корабли бороздят просторы вселенной, мне стыдно признаться, >но я не могу завести SNAT/DNAT на linux =( > >есть: Ubuntu Server 6.10, iptables v1.3.5 > >Два интерфейса: внешний eth0 и внутренний eth2. На внутреннем интерфейсе сеть 10.0.0.0/30 >для линковки с другим маршрутизатором (FreeBSD). На FreeBSD с помощью ipfw'ного >fwd форвардится сеть 192.168.0.0/16 на Ubuntu. На Ubuntu пытаюсь сделать SNAT >на эту сеть: >$IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to диапозон_внешних_адресов > >В итоге tcpdump'ом на eth2, на Ubuntu, я вижу что пакеты с >192.168.0.0/16 приходят и на этом всё для них заканчивается. SNAT не >работает. Пробовал и DNAT на eth2, тоже самое - пакеты вижу >и не работает! В чем может быть проблема? Грешу на какую >нибудь параноидальную защиту ибо больше ничего на ум не приходит. ip_forwarding >включен. Более того "ping -S 192.168.52.23 www.ru" работает и счетчики на >правиле SNAT тикают! глянь парметр ip_forward= в файле /etc/network/optoins поставь его в yes ip_forward=yes ну ребут потом и вроде все должно зашевелиться
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Iptables vs. SNAT/DNAT"
	Сообщение от Simps (ok) on 27-Фев-07, 11:59
	>>В то время как космические корабли бороздят просторы вселенной, мне стыдно признаться, >>но я не могу завести SNAT/DNAT на linux =( >> >>есть: Ubuntu Server 6.10, iptables v1.3.5 >> >>Два интерфейса: внешний eth0 и внутренний eth2. На внутреннем интерфейсе сеть 10.0.0.0/30 >>для линковки с другим маршрутизатором (FreeBSD). На FreeBSD с помощью ipfw'ного >>fwd форвардится сеть 192.168.0.0/16 на Ubuntu. На Ubuntu пытаюсь сделать SNAT >>на эту сеть: >>$IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to диапозон_внешних_адресов >> >>В итоге tcpdump'ом на eth2, на Ubuntu, я вижу что пакеты с >>192.168.0.0/16 приходят и на этом всё для них заканчивается. SNAT не >>работает. Пробовал и DNAT на eth2, тоже самое - пакеты вижу >>и не работает! В чем может быть проблема? Грешу на какую >>нибудь параноидальную защиту ибо больше ничего на ум не приходит. ip_forwarding >>включен. Более того "ping -S 192.168.52.23 www.ru" работает и счетчики на >>правиле SNAT тикают! > >глянь парметр >ip_forward= >в файле /etc/network/optoins >поставь его в yes >ip_forward=yes >ну ребут потом и вроде все должно зашевелиться Это было первое на что я грешил, и оно включено
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Iptables vs. SNAT/DNAT"
	Сообщение от Virtual (??) on 27-Фев-07, 12:00
	>>В то время как космические корабли бороздят просторы вселенной, мне стыдно признаться, >>но я не могу завести SNAT/DNAT на linux =( >> >>есть: Ubuntu Server 6.10, iptables v1.3.5 >> >>Два интерфейса: внешний eth0 и внутренний eth2. На внутреннем интерфейсе сеть 10.0.0.0/30 >>для линковки с другим маршрутизатором (FreeBSD). На FreeBSD с помощью ipfw'ного >>fwd форвардится сеть 192.168.0.0/16 на Ubuntu. На Ubuntu пытаюсь сделать SNAT >>на эту сеть: >>$IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to диапозон_внешних_адресов >> >>В итоге tcpdump'ом на eth2, на Ubuntu, я вижу что пакеты с >>192.168.0.0/16 приходят и на этом всё для них заканчивается. SNAT не >>работает. Пробовал и DNAT на eth2, тоже самое - пакеты вижу >>и не работает! В чем может быть проблема? Грешу на какую >>нибудь параноидальную защиту ибо больше ничего на ум не приходит. ip_forwarding >>включен. Более того "ping -S 192.168.52.23 www.ru" работает и счетчики на >>правиле SNAT тикают! > >глянь парметр >ip_forward= >в файле /etc/network/optoins >поставь его в yes >ip_forward=yes >ну ребут потом и вроде все должно зашевелиться извеняюсь невнимательно прочитал, может правило не правильно пишеш? попробуй так IPTABLES -t nat -A POSTROUTING -o <IP адрес FreeBSD> -j SNAT --to-source <IP адрес eth2> пакеты с фри должны проваливаться попробуй прописывать не по имени интерфейса а по IP с DNATом намного сложнее
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Iptables vs. SNAT/DNAT"
	Сообщение от Virtual (??) on 27-Фев-07, 12:02
	опять ошибся >IPTABLES -t nat -A POSTROUTING -s <IP адрес FreeBSD> -j SNAT --to-source <IP адрес eth2>
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Iptables vs. SNAT/DNAT"
	Сообщение от Virtual (??) on 27-Фев-07, 12:11
	если схема такая eth0<UBINTU>eth2----FreeBSD то для трансляции пакетов через убунту от фри на eth0 IPTABLES -t nat -A POSTROUTING -s <IP адрес FreeBSD> -j SNAT --to-source <IP адрес eth0> и обратно с eth0 через убунту на фрю IPTABLES -t nat -A PREROUTING -p ALL -d <IP адрес eth0> -j DNAT --to-destination <IP адрес FreeBSD>
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Iptables vs. SNAT/DNAT"
	Сообщение от Simps (ok) on 27-Фев-07, 12:13
	>если схема такая > >eth0<UBINTU>eth2----FreeBSD > >то для трансляции пакетов через убунту от фри на eth0 > >IPTABLES -t nat -A POSTROUTING -s <IP адрес FreeBSD> -j SNAT --to-source <IP адрес eth0> > >и обратно с eth0 через убунту на фрю > >IPTABLES -t nat -A PREROUTING -p ALL -d <IP адрес eth0> -j DNAT --to-destination <IP адрес FreeBSD> Фишка в том что адрес FreeBSD к SNAT отношения не имеет. FreeBSD форвардит сетки которые нужно натить. Например 192.168.0.0/16, 172.20.0.0/12 и тд ...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Iptables vs. SNAT/DNAT"
	Сообщение от Virtual (??) on 27-Фев-07, 12:19
	>>если схема такая >> >>eth0<UBINTU>eth2----FreeBSD >> >>то для трансляции пакетов через убунту от фри на eth0 >> >>IPTABLES -t nat -A POSTROUTING -s <IP адрес FreeBSD> -j SNAT --to-source <IP адрес eth0> >> >>и обратно с eth0 через убунту на фрю >> >>IPTABLES -t nat -A PREROUTING -p ALL -d <IP адрес eth0> -j DNAT --to-destination <IP адрес FreeBSD> > > >Фишка в том что адрес FreeBSD к SNAT отношения не имеет. FreeBSD >форвардит сетки которые нужно натить. Например 192.168.0.0/16, 172.20.0.0/12 и тд ... > тогда так IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/16 -j SNAT --to-source <IP адрес eth0> IPTABLES -t nat -A POSTROUTING -s 172.20.0.0/16 -j SNAT --to-source <IP адрес eth0> для каждой сети по правилу, а вот обратно DNAT тут уже нужно думать кому какой порт на какой IP
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Iptables vs. SNAT/DNAT"
	Сообщение от KRIM on 28-Фев-07, 09:19
	а в Ubuntu таблица FORWARD по умолчанию как настроена? надо либо все разрешиать, либо под НАТ и сетки делать отдельные правила. Если мысль не ясна напишу конкретные правила, сейчас влом. :)) удачи
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]