URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 31994
[ Назад ]

Исходное сообщение
"nat Iptables , хитрый роутинг"

Отправлено fed , 08-Июл-03 17:14 
проблема такая ... есть машина в одном из сигментов сети допустим у нее ип 192.168.1.2
в ней указан шлюз 192.168.1.1
машина видит другие подсети , в одной из подсетей есть машина с ипом 192.168.13.1 , на ней запущен маскарад , как сделать так чтобы маскарадился ип 192.168.1.2 ?

Содержание

Сообщения в этом обсуждении
"nat Iptables , хитрый роутинг"
Отправлено and , 08-Июл-03 17:30 
>проблема такая ... есть машина в одном из сигментов сети допустим у
>нее ип 192.168.1.2
>в ней указан шлюз 192.168.1.1
>машина видит другие подсети , в одной из подсетей есть машина с
>ипом 192.168.13.1 , на ней запущен маскарад , как сделать так
>чтобы маскарадился ип 192.168.1.2 ?

главное чтобы конечный гейт был 192.168.13.1 и тогда все будет маскарадится. если я правильно понял вопрос


"nat Iptables , хитрый роутинг"
Отправлено fed , 08-Июл-03 17:44 
но в том вся проблема что это не конечный гейт а просто один из компов в другом сегменте

"nat Iptables , хитрый роутинг"
Отправлено Михаил , 08-Июл-03 17:52 
>но в том вся проблема что это не конечный гейт а просто
>один из компов в другом сегменте
сделай на компе 192.168.1.1 интерфейс в сети 192.168.13.0 и укажи шлюзом 192.168.13.1
либо на своем компе 192.168.1.2 сделай интерфейс в сети 192.168.13.0 и укажи шлюзом 192.168.13.1
т.е. тебе в любом случае нужна машина, коорая будет иметь интерфейсы в обоих подсетях, имхо...

"nat Iptables , хитрый роутинг"
Отправлено fed , 08-Июл-03 17:55 
>>но в том вся проблема что это не конечный гейт а просто
>>один из компов в другом сегменте
>сделай на компе 192.168.1.1 интерфейс в сети 192.168.13.0 и укажи шлюзом 192.168.13.1
>
>либо на своем компе 192.168.1.2 сделай интерфейс в сети 192.168.13.0 и укажи
>шлюзом 192.168.13.1
>т.е. тебе в любом случае нужна машина, коорая будет иметь интерфейсы в
>обоих подсетях, имхо...

а если это разные сегменты сети тоесть ... 192.168.1.ххх--шлюз-192.168.3.хх--шлюз-192.168.13.ххх  как быть в этом случае ?


"nat Iptables , хитрый роутинг"
Отправлено Михаил , 08-Июл-03 18:04 
>>>но в том вся проблема что это не конечный гейт а просто
>>>один из компов в другом сегменте
>>сделай на компе 192.168.1.1 интерфейс в сети 192.168.13.0 и укажи шлюзом 192.168.13.1
>>
>>либо на своем компе 192.168.1.2 сделай интерфейс в сети 192.168.13.0 и укажи
>>шлюзом 192.168.13.1
>>т.е. тебе в любом случае нужна машина, коорая будет иметь интерфейсы в
>>обоих подсетях, имхо...
>
>а если это разные сегменты сети тоесть ... 192.168.1.ххх--шлюз-192.168.3.хх--шлюз-192.168.13.ххх  как быть
>в этом случае ?
ну делай цепочку шлюзов, если так хочется...
правда, смысла не вижу... уж лучше центральный рутер сделать, у которого интерфейсы будут во всех твоих подсетях и он будет для всех шлюзом...


"nat Iptables , хитрый роутинг"
Отправлено fed , 08-Июл-03 18:34 
понимаеш какая штука ... все юзвери в инет лезут через сквид , я хочу на свиде я поднял маскарад ... а фаерволом служит совершенно другая машина ... там все слишком запутано в правилах iptables ....

"nat Iptables , хитрый роутинг"
Отправлено Михаил , 08-Июл-03 19:43 
>понимаеш какая штука ... все юзвери в инет лезут через сквид ,
>я хочу на свиде я поднял маскарад ...
ну так поднимай... адрес интерфейса в своей подсетке сделай шлюзом для своих компов, а на компе со сквидом шлюзом будет файрвол

"nat Iptables , хитрый роутинг"
Отправлено fed , 08-Июл-03 20:04 
>>понимаеш какая штука ... все юзвери в инет лезут через сквид ,
>>я хочу на свиде я поднял маскарад ...
>ну так поднимай... адрес интерфейса в своей подсетке сделай шлюзом для своих
>компов, а на компе со сквидом шлюзом будет файрвол

еще раз говарю сквид в другом сегменте его ип 192.168.13.1 ....


"nat Iptables , хитрый роутинг"
Отправлено Михаил , 08-Июл-03 20:33 
>еще раз говарю сквид в другом сегменте его ип 192.168.13.1 ....
еще раз говорю - делай цепочку шлюзов :)


"nat Iptables , хитрый роутинг"
Отправлено Mikhail , 09-Июл-03 10:47 
Да проблема не в этом, скорее, в постановке задачи. Дай топологию (допустим, #4 сойдет);
о какой, собственно, машине речь идет;
настройки этой машины - 'route -n', ifconfig, 'iptables -nL';
а дальше - что нужно сделать? Можно через НАТ, может, через прокси...
Если только маскарад - man iptables на тему snat/dnat.
Т.к. даже система не указана, подразумевается linux.

"nat Iptables , хитрый роутинг"
Отправлено fed , 09-Июл-03 10:52 
>Да проблема не в этом, скорее, в постановке задачи. Дай топологию (допустим,
>#4 сойдет);
>о какой, собственно, машине речь идет;
>настройки этой машины - 'route -n', ifconfig, 'iptables -nL';
>а дальше - что нужно сделать? Можно через НАТ, может, через прокси...
>
>Если только маскарад - man iptables на тему snat/dnat.
> Т.к. даже система не указана, подразумевается linux.

система ASPLinux 7.3
route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
213.184.143.192 0.0.0.0         255.255.255.192 U     0      0        0 eth1
192.168.1.0     213.184.143.200 255.255.255.0   UG    0      0        0 eth1
192.168.16.0    192.168.13.2    255.255.255.0   UG    0      0        0 eth0
192.168.15.0    192.168.13.2    255.255.255.0   UG    0      0        0 eth0
192.168.13.0    0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.0.0     192.168.13.2    255.255.0.0     UG    0      0        0 eth0
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
0.0.0.0         213.184.143.193 0.0.0.0         UG    0      0        0 eth1

iptables -nL
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

ifconfig
eth0      Link encap:Ethernet  HWaddr 00:10:4B:34:59:39
          inet addr:192.168.13.1  Bcast:192.168.13.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:21642827 errors:0 dropped:0 overruns:0 frame:0
          TX packets:28089113 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:3768552943 (3593.9 Mb)  TX bytes:2055489867 (1960.2 Mb)
          Interrupt:9 Base address:0xdc00

eth1      Link encap:Ethernet  HWaddr 00:A0:24:D9:BE:D1
          inet addr:213.184.143.194  Bcast:213.184.143.255  Mask:255.255.255.192
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:20882183 errors:0 dropped:0 overruns:0 frame:0
          TX packets:21220388 errors:0 dropped:0 overruns:0 carrier:50
          collisions:36763 txqueuelen:100
          RX bytes:3857321822 (3678.6 Mb)  TX bytes:4134024740 (3942.5 Mb)
          Interrupt:5 Base address:0x220


"nat Iptables , хитрый роутинг"
Отправлено Mikhail , 09-Июл-03 11:07 
> 192.168.1.ххх--шлюз1-192.168.3.хх--шлюз2-192.168.13.ххх  как быть в этом случае
А каким образом машины сети 192.168.1.ххх видят машины сети 192.168.3.хх/192.168.13.ххх?
Если на шлюзах snat, то пакеты от  192.168.1.2 будут приходить с src шлюз2. Соотв., их и придется snat'ить. Как обычно, man iptables на тему snat. А фильтровать, кого пропускать, а кого - нет, придется на шлюзах.