Чат  ::   FAQ  ::   Поиск  ::   Регистрация  ::   Вход

IPTables и NAT.

Общие вопросы по операционной системе

Модератор: april22

IPTables и NAT.

Сообщение Samael28 » 06 мар 2013, 23:48

Всем доброго дня.
Возник хитрый вопрос по IPTables, т.к. сам по нему крупным спецом не являюсь :)
Есть внутренняя сеть LAN вида 10.10.10.0/24. И внешняя сеть WAN вида 8.8.8.192/27. На внешней сети есть шлюз провайдера 8.8.8.193.
Есть сервер с 2мя сетевыми и 2мя IP
eth0 - 10.10.10.254
eth1 - 8.8.8.213
Default gateway - 8.8.8.193
Задачка - построить NAT таким образом, чтобы внутри сетей LAN и WAN все ходило простым роутингом, т.е. внутри этих сетей все устройства имеют маршруты друг на друга и никакого NAT нету. Но если устройства из сети LAN пытаются выйти за пределы этих сетей, то тогда уже включается NAT с предоставлением "внешнего" IP 8.8.8.213
Т.е. если устройство с адресом 10.10.10.25 обращается к устройству 8.8.8.200, то устройство на этом адресе видит адрес источника 10.10.10.25, а если уходит дальше, например на 8.8.8.8, то уже подставляется 8.8.8.213.
Все, что я видел в интернете использует для NAT не IP, а имя интерфейса. А хотелось бы именно так построить.
(Может мой вопрос глупый, но задачка пока именно такая)
Мой профайл на Upwork
Samael28
 
Сообщений: 1057
Зарегистрирован: 08 янв 2011, 19:32
Откуда: Киев

Re: IPTables и NAT.

Сообщение ded » 07 мар 2013, 00:04

Сложняки.
Через год уже не распутаешь.
В локальной сети 10.10.10.0/24 никакого НАТа не будет, ибо это уровень коммутатора локальной сети - Layer 2. Хосты будут видеть друг-друга по МАС адресам и не будут обращаться на сервер с 2мя сетевыми eth0 - 10.10.10.254. Верно?
На этом сервере нужно подменять source IP только если destination не будет = 8.8.8.192/27
Но тогда каждый хост в этой сети должен иметь route
10.10.10.0/24 gw 8.8.8.213
а иначе они будут искать эти адреса на Default gateway - 8.8.8.193
ded
 
Сообщений: 13629
Зарегистрирован: 26 авг 2010, 19:00

Re: IPTables и NAT.

Сообщение Samael28 » 07 мар 2013, 01:50

ded писал(а):На этом сервере нужно подменять source IP только если destination не будет = 8.8.8.192/27

Подменять в данном случае = NATить.
ded писал(а):Но тогда каждый хост в этой сети должен иметь route
10.10.10.0/24 gw 8.8.8.213

Да, каждый хост в сети 8.8.8.192/27 будет иметь этот роут.

Суть в том, что узлы сети 10.10.10.0/24 должны иметь доступ в интернет, но с узлами сети 8.8.8.192/27 общаться без NATов.
Мой профайл на Upwork
Samael28
 
Сообщений: 1057
Зарегистрирован: 08 янв 2011, 19:32
Откуда: Киев

Re: IPTables и NAT.

Сообщение Vlad1983 » 07 мар 2013, 07:08

убрать из -t nat POSTROUTING всю ту чушь, которую вы уже туда вбили

и выполнить
iptables -t nat -A POSTROUTING -s 10.10.10.0/24 ! -d 8.8.8.192/27 -o eth1 -j SNAT --to-source 8.8.8.213
iptables -t filter -I FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A FORWARD -i eth0 -o eth1 -j ACCEPT
iptables -t filter -A FORWARD -i eth1 -s 8.8.8.192/27 -d 10.10.10.0/24 -j ACCEPT
заменив на свои реальные сети и IP на интерфейсах
Мобильные РФ 1.2 руб./мин. + НДС с посекундной тарификацией, CLI
Telegram: @rostel
Vlad1983
 
Сообщений: 4152
Зарегистрирован: 09 авг 2011, 11:51

Re: IPTables и NAT.

Сообщение Samael28 » 07 мар 2013, 12:28

Спасибо, ушел применять и читать мануалы....
Мой профайл на Upwork
Samael28
 
Сообщений: 1057
Зарегистрирован: 08 янв 2011, 19:32
Откуда: Киев

Re: IPTables и NAT.

Сообщение ded » 07 мар 2013, 12:51

На этом сервере нужно подменять source IP только если destination не будет = 8.8.8.192/27 (НАТить)
а тут получается НАТить на -d 8.8.8.192/27
iptables -t nat -A POSTROUTING -s 10.10.10.0/24 ! -d 8.8.8.192/27 -o eth1 -j SNAT --to-source 8.8.8.213
т.е. ровно наоборот?
ded
 
Сообщений: 13629
Зарегистрирован: 26 авг 2010, 19:00

Re: IPTables и NAT.

Сообщение Vlad1983 » 07 мар 2013, 13:11

iptables -t nat -A POSTROUTING -s 10.10.10.0/24 ! -d 8.8.8.192/27 -o eth1 -j SNAT --to-source 8.8.8.213

делаем соурс маппинг всех пакетов проходящих через eth1 при условии что инициатор из сети 10.10.10.0/24 и получатель не в сети 8.8.8.192/27
Мобильные РФ 1.2 руб./мин. + НДС с посекундной тарификацией, CLI
Telegram: @rostel
Vlad1983
 
Сообщений: 4152
Зарегистрирован: 09 авг 2011, 11:51

Re: IPTables и NAT.

Сообщение ded » 07 мар 2013, 13:15

О, восклицательный знак сразу совсем не увидел.
ded
 
Сообщений: 13629
Зарегистрирован: 26 авг 2010, 19:00


Вернуться в Linux

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2

© 2008 — 2019 Asterisk.ru
Digium, Asterisk and AsteriskNOW are registered trademarks of Digium, Inc.
Design and development by PostMet-Netzwerk GmbH