https://opennet.ru/openforum/vsluhforumID1/93364.html Есть Debian, у него есть две сетевые карты и свисток Yota LU150 LTE. При подключении свистка создается интерфейс eth2, т.е. картина получается примерно следующая:<br><br>eth0 (192.168.0.0/24)<br>eth1 (192.168.1.0/24)<br>eth2 (10.0.0.0/24)<br><br>На eth2, по DHCP, свисток назначает адрес 10.0.0.10 так-же в модеме живет шлюз с адресом 10.0.0.1 т.е. свисток является роутером.<br><br>Проблема в том что у меня не получилось выйти в инет с машин подключенных к eth0 и eth1 без использования NAT.<br><br>Поставил все политики ACCEPT для всех таблиц/цепочек, ну и, понятное дело, ip_forward.<br>default роут 10.0.0.1 с сервера инет доступен, с других машин нет. Мелькнула-было предательская мысль что свисток принимает пакеты только с подсетки 10.0.0.0/24, но tcpdump на eth2 выявил входящий пакет:<br>---<br>17:50:45.045950 IP (tos 0x0, ttl 127, id 1553, offset 0, flags [DF], proto TCP (6), length 52)<br> 192.168.0.11.12987 &gt; www.yandex.ru.www: Flags [S], cksum 0x35c6 (correct), seq 366191845, win 8192, options [mss 1464,nop,wscale 2,nop,nop,sackOK https://opennet.ru/openforum/vsluhforumID1/93364.html#8 Wed, 16 May 2012 19:44:53 GMT &gt; Так в том-то и дело что SYN пакет уходит с интерфейса eth0 <br>&gt; и на eth2 приходит ACK. Меня смущает то, что tcpdump его <br>&gt; ловит а в netfilter я его не вижу. <br><br>tcpdump загоняет интерфейс в promiscuous mode и выгребает всё что долетело до него, а netfilter получает то, что должно быть получено и обработано этим хостом.<br>Думаю, это увеличивает шансы варианта с бриджингом интерфейсов. Может быть ещё Proxy-ARP может помочь.<br> https://opennet.ru/openforum/vsluhforumID1/93364.html#7 Wed, 16 May 2012 15:02:50 GMT &gt;[оверквотинг удален]<br>&gt;&gt; как между eth1 и eth2. То что за eth2 существует NAT это <br>&gt;&gt; несомненно, но находится вне моего доступа.<br>&gt; Внутри модема таблица маршрутизации скорее всего выглядит так: <br>&gt; 0.0.0.0/0 via Radio <br>&gt; 10.0.0.0/24 via USB-Eth <br>&gt; Кроме того, НАТ может быть ограничен той же сетью 10.0.0.0/24 или даже <br>&gt; 10.0.0.10.<br>&gt; В случае, если НАТ не ограничен сетью модема, пакет от сети 192.168.0.0/23 <br>&gt; сможет выйти наружу в интернет, но ответ на него обратной дороги <br>&gt; не найдёт.<br><br>Так в том-то и дело что SYN пакет уходит с интерфейса eth0 и на eth2 приходит ACK. Меня смущает то, что tcpdump его ловит а в netfilter я его не вижу. Я в первом посте привел пример. В любом случае буду пробовать. Вопрос скорее принципиальный чем животрепещущий.<br><br> https://opennet.ru/openforum/vsluhforumID1/93364.html#6 Wed, 16 May 2012 13:31:09 GMT Так что, думаю, в описанной конфигурации избежать НАТа на вашей машине не удастся.<br><br>Можно попробовать вариант с бриджем eth0,eth1,eth2 и раздачей на машины за eth0 и eth1 адресов из сети 10.0.0.0/24, если в модеме НАТ на всю эту сеть, то такой вариант может сработать.<br><br>В других вариантах нужно иметь возможность изменять конфигурацию (логику работы) модема.<br><br><br> https://opennet.ru/openforum/vsluhforumID1/93364.html#5 Wed, 16 May 2012 13:25:50 GMT &gt;Меня интересует можно-ли избежать NAT между eth0 и eth2, равно <br>&gt; как между eth1 и eth2. То что за eth2 существует NAT это <br>&gt; несомненно, но находится вне моего доступа.<br><br>Внутри модема таблица маршрутизации скорее всего выглядит так:<br>0.0.0.0/0 via Radio<br>10.0.0.0/24 via USB-Eth<br><br>Кроме того, НАТ может быть ограничен той же сетью 10.0.0.0/24 или даже 10.0.0.10.<br><br>В случае, если НАТ не ограничен сетью модема, пакет от сети 192.168.0.0/23 сможет выйти наружу в интернет, но ответ на него обратной дороги не найдёт.<br><br>В случае, если НАТ ограничен сетью 10.0.0.0/24 или адресом 10.0.0.10, то пакет сможет даже уйти в интернет.<br><br>Так что, думаю, в описанно<br> https://opennet.ru/openforum/vsluhforumID1/93364.html#4 Wed, 16 May 2012 07:17:32 GMT &gt;&gt; На eth2, по DHCP, свисток назначает адрес 10.0.0.10 так-же в модеме живет шлюз с адресом 10.0.0.1 т.е. свисток является роутером.<br>&gt; Вот это очень здравая мысль, зря вы её дальше не развили.<br>&gt; На всех свистках используется адрес 10.0.0.1 и 10.0.0.10 - на всех клиентах. <br>&gt; Очевидно, что если от всех абонентов Yota будет получать пакеты с <br>&gt; src ip 10.0.0.10 это создаст немало проблем по определению принадлежности пакетов. <br>&gt; Далее, если уж свисток - роутер, то у него как минимум <br>&gt; два интерфейса (адреса), так что логично предположить, что он не просто <br>&gt; роутит, но ещё и натит в адрес своего радио-интерфейса. А поскольку <br>&gt; на радио-интерфейсе модема с большой вероятностью стоит серый (приватный) IP, то <br>&gt; где-то далее на выходе в интернет есть ещё один НАТ.<br><br>Я даже растерялся. Если это подсказка, увы, не понимаю. То что вы описали, безусловно так и есть, сомнений не вызывало и не вызывает, вопрос подразумевался сугубо про локальную часть. Единственное что мне приходит на ум - я не достаточно точн https://opennet.ru/openforum/vsluhforumID1/93364.html#3 Wed, 16 May 2012 04:17:11 GMT &gt; На eth2, по DHCP, свисток назначает адрес 10.0.0.10 так-же в модеме живет шлюз с адресом 10.0.0.1 т.е. свисток является роутером.<br><br>Вот это очень здравая мысль, зря вы её дальше не развили.<br><br>На всех свистках используется адрес 10.0.0.1 и 10.0.0.10 - на всех клиентах. Очевидно, что если от всех абонентов Yota будет получать пакеты с src ip 10.0.0.10 это создаст немало проблем по определению принадлежности пакетов. Далее, если уж свисток - роутер, то у него как минимум два интерфейса (адреса), так что логично предположить, что он не просто роутит, но ещё и натит в адрес своего радио-интерфейса. А поскольку на радио-интерфейсе модема с большой вероятностью стоит серый (приватный) IP, то где-то далее на выходе в интернет есть ещё один НАТ.<br> https://opennet.ru/openforum/vsluhforumID1/93364.html#2 Tue, 15 May 2012 06:06:06 GMT &gt;&gt; Проблема в том что у меня не получилось выйти в инет с <br>&gt;&gt; машин подключенных к eth0 и eth1 без использования NAT.<br>&gt; и не получится.<br>&gt; с какой стати йоте роутить ваши серые ести ?<br><br>Информация точная или это предположение?<br><br>Как я отметил в первом посте такая идея мне приходила в голову, но tcpdump регистрирует ответные пакеты на eth2. Т.е. как минимум, йота роутит пакет из внетренней сетки наружу и возвращает его назад.<br> https://opennet.ru/openforum/vsluhforumID1/93364.html#1 Tue, 15 May 2012 04:19:26 GMT <br>&gt; Проблема в том что у меня не получилось выйти в инет с <br>&gt; машин подключенных к eth0 и eth1 без использования NAT.<br><br>и не получится.<br>с какой стати йоте роутить ваши серые ести ?<br>