форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Баянный вопрос про NAT"

Сообщение от Gular (ok) on 13-Ноя-07, 21:21

Приветствую. Есть локальная сеть, поделённая на подсети посредством VLAN. Стоит сервер, на котором настроено VPN-подключение в Интернет по протоколу РРТР. Всё работает, т.е. сервер ходит в глобальный интернет. Нужно раздать этот интернет на несколько адресов в сети. Только не определённые порты, а полностью весь. Чтобы "нужные" сетчане могли ходить через этот шлюз в интернет. У интерфейса ppp0 внешний "белый" ip-адрес - 85.158.48.135. Локальны ip-адрес 172.30.137.200/24, а gateway 172.30.137.1. Необходимо полностью пробросить подключение на адреса 172.30.140.186/24 (gateway 172.30.140.1; это я), 172.30.137.23/24 (gateway 172.30.137.1) и 172.30.134.101/24 (gateway 172.30.134.1). Для других доступа не должно быть. Хотелось бы для самоуверенности спросить :), достаточно ли для этого правила в iptables iptables -t nat -A POSTROUTING -s my_ip_adress -j MASQUERADE ? Также хочется узнать у опытных людей, каким средствами лучше шифровать пакеты на пути "мой сервер <-> клиенты" без установки дополнительных, своих внутренних, VPN с аутентификацией?

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Баянный вопрос про NAT"

Сообщение от angra (ok) on 14-Ноя-07, 15:22

В общем случае недостаточно. В первую очередь должен быть разрешен forward, а уже потом NAT. Кстати, если подключение к инету по фиксированому IP, то вместо MASQUERADE лучше указать этот IP. MASQUERADE изначально предназначен для соединений с динамическим IP

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Баянный вопрос про NAT"
	Сообщение от Gular (ok) on 15-Ноя-07, 13:11
	>В общем случае недостаточно. В первую очередь должен быть разрешен forward, а >уже потом NAT. >Кстати, если подключение к инету по фиксированому IP, то вместо MASQUERADE лучше >указать этот IP. MASQUERADE изначально предназначен для соединений с динамическим IP > angra, спасибо, что подсказываете. Точно, у меня же внешний адрес на интерфейсе ppp0 85.158.48.135. Тогда динамическое тут ни к чему. Я тогда 1. iptables -A FORWARD DROP 2. iptables -A FORWARD -s 172.30.140.186 -d 172.30.137.200 -j ACCEPT 3. iptables -A FORWARD -s 172.30.137.200 -d 172.30.140.186 -j ACCEPT 4. iptables -t nat -A POSTROUTING -s 172.30.140.186 -p tcp,udp -j SNAT --to-source 85.158.48.135 А вот так? :) Извиняюсь, просто опыт работы с пакетным фильтром небольшой. Форвардинг включён: cat /proc/sys/net/ipv4/ip_forward 1
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]