форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"iptables routing snat+dnat"

Сообщение от Serg_12 (ok) on 17-Апр-07, 00:49

Есть машина с 2-мя интерфейсами на одном реальный ip, на втором внутренний на реальный ip с шлюза маршрутизируется подсеть реальных ip адресов. Вопрос: как эти адреса заводить на iptables? в циске я поднимаю на эти ip адреса статический нат и они обрабатываются. В iptables каким образом поступать? надо эти адреса статически пронатить во внутренние, но как заставить iptables принимать эти пакеты? Алиасами эти ip повесить на внешнем интерфейсе? в какую стороны рыть?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени, UBB]

1. "iptables routing snat+dnat"

Сообщение от Oyyo on 17-Апр-07, 01:58

>Есть машина с 2-мя интерфейсами >на одном реальный ip, на втором внутренний >на реальный ip с шлюза маршрутизируется подсеть реальных ip адресов. с какого шлюза? а с какой стороны инет? как "подсеть реальных ip адресов" попадает в инрернет если она пророучена на вас? >Вопрос: как эти адреса заводить на iptables? Этот вопрост вообще непонятен >в циске я поднимаю на эти ip адреса статический нат и они >обрабатываются. >В iptables каким образом поступать? надо эти адреса статически пронатить во внутренние, > >но как заставить iptables принимать эти пакеты? Алиасами эти ip повесить на >внешнем интерфейсе? в какую стороны рыть? непонятна сама суть задачи, чтовы хотите сделать? реальный ИП это значит внешний мир, разрешить кусочку мира ходить к вам в внутреннюю сеть? или разрешить какие-то сервисы из внутренней сети?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "iptables routing snat+dnat"
	Сообщение от exn (ok) on 17-Апр-07, 02:14
	Да что тут непонятного ? у человека реальные ипы типа.. вот, поробуйте просто sysctl net.ipv4.ip_forward=1 и iptables -t filter -P FORWARD ACCEPT по идее все должно заработать.. по идее
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "iptables routing snat+dnat"
	Сообщение от Oyyo on 17-Апр-07, 02:25
	>Да что тут непонятного ? у человека реальные ипы типа.. вот, поробуйте >просто sysctl net.ipv4.ip_forward=1 и iptables -t filter -P FORWARD ACCEPT > >по идее все должно заработать.. по идее ну это если его машинка является шлюзом для этих реальных ИП и если эти реальные ИП не держат за собой такую-же серую подсеть только судя и поста это не так iptables -t filter -P FORWARD ACCEPT - это дыра .....
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "iptables routing snat+dnat"
	Сообщение от exn (ok) on 17-Апр-07, 02:45
	>ну это если его машинка является шлюзом для этих реальных ИП >и если эти реальные ИП не держат за собой такую-же серую подсеть > >только судя и поста это не так > >iptables -t filter -P FORWARD ACCEPT - это дыра ..... Ясен пень... я всегда слабо втыкаю в вопросы на форуме.. ну нет во мне благородных супартовских кровей :D
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "iptables routing snat+dnat"
	Сообщение от exn (ok) on 17-Апр-07, 02:48
	>Да что тут непонятного ? гхм.. да .. наезд.. звиняйте
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "iptables routing snat+dnat"

Сообщение от Oyyo on 17-Апр-07, 04:11

>Есть машина с 2-мя интерфейсами >на одном реальный ip, на втором внутренний >на реальный ip с шлюза маршрутизируется подсеть реальных ip адресов. >Вопрос: как эти адреса заводить на iptables? >в циске я поднимаю на эти ip адреса статический нат и они >обрабатываются. >В iptables каким образом поступать? надо эти адреса статически пронатить во внутренние, > >но как заставить iptables принимать эти пакеты? Алиасами эти ip повесить на >внешнем интерфейсе? в какую стороны рыть? предпологаю второй вариант вопроса: у вас есть реальный ИП и есть диапозон реальных ИП который раздаёте на клиентские машины. Все ИП выданы провайдером, а значит провайдерский роутер знает куда направлять запросы из мира к этим ИП. Если ваш ИП не принадлежит подсети которую раздаёте, то правила форварда прописываются для них просто /sbin/iptables -A FORWARD -j ACCEPT -o $ETH_INTERNET -i $ETH_LAN /sbin/iptables -A FORWARD -j ACCEPT -i $ETH_INTERNET -o $ETH_LAN вы просто обязаны разрешить все запросы к реальным ИП $ETH_INTERNET - внешний интерфейс $ETH_LAN - внутренний интерфейс с подсетью из реальных ИП и ни каких натов Если ваш ИП из той-же подсети, что и клиентам раздаёте, то почитайте http://www.opennet.me/base/net/linux_bridge.txt.html

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "iptables routing snat+dnat"
	Сообщение от Serg_12 (ok) on 17-Апр-07, 15:21
	Вообщем у меня есть шлюз eth0 - приватный ip eth1 - реальный ip на реальный ip маршрутизируется из инета блок реальных ip адресов, надо пронатить определьенные реальные ip адреса в приватные 1 в 1 то есть статический нат. пробую вот так /sbin/iptables -t nat -A PREROUTING -d $REAL_IP -i eth1 -j DNAT --to-destination $PRIVATE_IP /sbin/iptables -t nat -A POSTROUTING -s $PRIVATE_IP -o eth1 -j SNAT --to-source $REAL_IP не работает...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "iptables routing snat+dnat"
	Сообщение от Serg_12 (ok) on 17-Апр-07, 15:31
	что-то мне подсказывает, что надо алиасить эти ипшники :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "iptables routing snat+dnat"
	Сообщение от Serg_12 (ok) on 17-Апр-07, 15:43
	Мдеее... заработало все как и писал, просто в IP ошибся мддееее.... надо увольняццооо... спасибо всем :(
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]