forum.opennet.ru - "NAT (iptables + MASQUERADE). Использование другого source IP." (6)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"NAT (iptables + MASQUERADE). Использование другого source IP."

Форум Открытые системы на сервере (Маршрутизация, NAT / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"NAT (iptables + MASQUERADE). Использование другого source IP."	+/–
Сообщение от Nik_sa on 02-Авг-10, 14:32
Добрый день! Подскажите, п-та, можно ли при использовании NAT указывать source IP адрес отличный от того, что сконфигурирован на сетевом интерфейсе NAT сервера? вот пример. Есть внутренняя сеть (локалка) 192.168.1.0/24, есть сервер с выходом в Интернет в этой локалке. На сервере сконфигурирован интерфейс eth0 с адресом 1.1.1.1. Шлюз - 1.1.1.2. Вторым интерфейсом сервер смотрит в локалку. Я настроил NAT, чтобы клиенты из локалки ходили в Интернет. Все работает отлично. Клиенты из локалки ходят в Интернет с source адресом 1.1.1.1. Кроме 1.1.1.1 мне доступен адрес 1.1.1.10. Могу я настроить NAT так, чтобы source IP у клиентов был 1.1.1.10 (а не 1.1.1.1)? Пакеты маршрутизируются на NAT сервере с помошью iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE Спасибо
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

NAT (iptables + MASQUERADE). Использование другого source IP., reader, 14:52 , 02-Авг-10, (1)

NAT (iptables + MASQUERADE). Использование другого source IP., Nik_sa, 13:59 , 03-Авг-10, (2)

NAT (iptables + MASQUERADE). Использование другого source IP., reader, 15:44 , 03-Авг-10, (3)

NAT (iptables + MASQUERADE). Использование другого source IP., Nik_sa, 16:14 , 03-Авг-10, (4)

NAT (iptables + MASQUERADE). Использование другого source IP., allenn, 19:57 , 03-Авг-10, (5)
NAT (iptables + MASQUERADE). Использование другого source IP., reader, 21:51 , 03-Авг-10, (6)

Сообщения по теме [Сортировка по времени | RSS]

1. "NAT (iptables + MASQUERADE). Использование другого source IP." +/–

Сообщение от reader (ok) on 02-Авг-10, 14:52

http://www.opennet.dev/docs/RUS/iptables/#SNATTARGET

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "NAT (iptables + MASQUERADE). Использование другого source IP." +/–

Сообщение от Nik_sa on 03-Авг-10, 13:59

>http://www.opennet.dev/docs/RUS/iptables/#SNATTARGET
Спасибо, SNAT работает. Но это не совсем то.
У меня получилось изменять source ip (ключ --to-source) только на тот адрес, который сконфигурирован на интерфейсе. Если я ставлю --to-source в значение, отличное от адреса сервера с NAT - форвардинг не работает.
А есть ли возможность задавать другой source ip? (из той же подсети) И не конфигурировать его на интерфейсе?
Когда я пишу на сокетах, я могу подставить произвольный source адрес. Главное, чтобы вышестоящий маршрутизатор его проанонсил. И этот адрес может не быть сконфигурированным на интерфейсе.
Спасибо

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "NAT (iptables + MASQUERADE). Использование другого source IP." +/–

Сообщение от reader (ok) on 03-Авг-10, 15:44

>[оверквотинг удален]
>от адреса сервера с NAT - форвардинг не работает.
>
>А есть ли возможность задавать другой source ip? (из той же подсети)
>И не конфигурировать его на интерфейсе?
>
>Когда я пишу на сокетах, я могу подставить произвольный source адрес. Главное,
>чтобы вышестоящий маршрутизатор его проанонсил. И этот адрес может не быть
>сконфигурированным на интерфейсе.
>
>Спасибо
я так не извращался. вы пробовали запускать tcpdump на интерфейсе с nat, действительно ли пакеты не уходят, может все таки шлюз не знает куда ответы слать?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "NAT (iptables + MASQUERADE). Использование другого source IP." +/–

Сообщение от Nik_sa on 03-Авг-10, 16:14

>[оверквотинг удален]
>>
>>Когда я пишу на сокетах, я могу подставить произвольный source адрес. Главное,
>>чтобы вышестоящий маршрутизатор его проанонсил. И этот адрес может не быть
>>сконфигурированным на интерфейсе.
>>
>>Спасибо
>
>я так не извращался. вы пробовали запускать tcpdump на интерфейсе с nat,
>действительно ли пакеты не уходят, может все таки шлюз не знает
>куда ответы слать?
Посмотрю сейчас. Но скорее всего шлюз работает нормально. Если я адрес, что указываю в ключе --to-source, устанавливаю на интерфейс сервера - все работает. (т.е сервер нормально "ходит" в Интернет, я могу на этот IP зайти через SSH)
Может вообще пакеты не уходят после POSTROUTING, либо сервер нормально не воспринимает входящие пакеты (ответы). В них ведь destination IP указан не тот, что прописан для eth0).
Может дропаются просто.
Спасибо

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "NAT (iptables + MASQUERADE). Использование другого source IP." +/–

Сообщение от allenn on 03-Авг-10, 19:57

>Может вообще пакеты не уходят после POSTROUTING, либо сервер нормально не воспринимает
>входящие пакеты (ответы). В них ведь destination IP указан не тот,
>что прописан для eth0).
Когда на интерфейсе прописаны несколько алиасов то SNAT отлично работает с них со всех, проверялось и не один раз.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "NAT (iptables + MASQUERADE). Использование другого source IP." +/–

Сообщение от reader (ok) on 03-Авг-10, 21:51

>[оверквотинг удален]
>>>Спасибо
>>
>>я так не извращался. вы пробовали запускать tcpdump на интерфейсе с nat,
>>действительно ли пакеты не уходят, может все таки шлюз не знает
>>куда ответы слать?
>
>Посмотрю сейчас. Но скорее всего шлюз работает нормально. Если я адрес, что
>указываю в ключе --to-source, устанавливаю на интерфейс сервера - все работает.
>(т.е сервер нормально "ходит" в Интернет, я могу на этот IP
>зайти через SSH)
вы не путайте. когда вы указываете ip на интерфейсе, то в процессе работы в arp таблице шлюза будет этот адрес и шлюз будет знать куда слать пакеты, а если на интерфейсе этого адреса нет, то шлюз и не знает у кого этот адрес.
>
>Может вообще пакеты не уходят после POSTROUTING, либо сервер нормально не воспринимает
>входящие пакеты (ответы). В них ведь destination IP указан не тот,
>что прописан для eth0).
>Может дропаются просто.
>
>Спасибо
в общем проверил то что вы хотите, в --to-source можно указать адрес не прописанный на интерфейсе, но на шлюзе пришлось прописать маршрут к этому ip

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "NAT (iptables + MASQUERADE). Использование другого source IP."	+/–
Сообщение от reader (ok) on 02-Авг-10, 14:52
http://www.opennet.dev/docs/RUS/iptables/#SNATTARGET
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	2. "NAT (iptables + MASQUERADE). Использование другого source IP."	+/–
	Сообщение от Nik_sa on 03-Авг-10, 13:59
	>http://www.opennet.dev/docs/RUS/iptables/#SNATTARGET Спасибо, SNAT работает. Но это не совсем то. У меня получилось изменять source ip (ключ --to-source) только на тот адрес, который сконфигурирован на интерфейсе. Если я ставлю --to-source в значение, отличное от адреса сервера с NAT - форвардинг не работает. А есть ли возможность задавать другой source ip? (из той же подсети) И не конфигурировать его на интерфейсе? Когда я пишу на сокетах, я могу подставить произвольный source адрес. Главное, чтобы вышестоящий маршрутизатор его проанонсил. И этот адрес может не быть сконфигурированным на интерфейсе. Спасибо
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	3. "NAT (iptables + MASQUERADE). Использование другого source IP."	+/–
	Сообщение от reader (ok) on 03-Авг-10, 15:44
	>[оверквотинг удален] >от адреса сервера с NAT - форвардинг не работает. > >А есть ли возможность задавать другой source ip? (из той же подсети) >И не конфигурировать его на интерфейсе? > >Когда я пишу на сокетах, я могу подставить произвольный source адрес. Главное, >чтобы вышестоящий маршрутизатор его проанонсил. И этот адрес может не быть >сконфигурированным на интерфейсе. > >Спасибо я так не извращался. вы пробовали запускать tcpdump на интерфейсе с nat, действительно ли пакеты не уходят, может все таки шлюз не знает куда ответы слать?
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	4. "NAT (iptables + MASQUERADE). Использование другого source IP."	+/–
	Сообщение от Nik_sa on 03-Авг-10, 16:14
	>[оверквотинг удален] >> >>Когда я пишу на сокетах, я могу подставить произвольный source адрес. Главное, >>чтобы вышестоящий маршрутизатор его проанонсил. И этот адрес может не быть >>сконфигурированным на интерфейсе. >> >>Спасибо > >я так не извращался. вы пробовали запускать tcpdump на интерфейсе с nat, >действительно ли пакеты не уходят, может все таки шлюз не знает >куда ответы слать? Посмотрю сейчас. Но скорее всего шлюз работает нормально. Если я адрес, что указываю в ключе --to-source, устанавливаю на интерфейс сервера - все работает. (т.е сервер нормально "ходит" в Интернет, я могу на этот IP зайти через SSH) Может вообще пакеты не уходят после POSTROUTING, либо сервер нормально не воспринимает входящие пакеты (ответы). В них ведь destination IP указан не тот, что прописан для eth0). Может дропаются просто. Спасибо
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	5. "NAT (iptables + MASQUERADE). Использование другого source IP."	+/–
	Сообщение от allenn on 03-Авг-10, 19:57
	>Может вообще пакеты не уходят после POSTROUTING, либо сервер нормально не воспринимает >входящие пакеты (ответы). В них ведь destination IP указан не тот, >что прописан для eth0). Когда на интерфейсе прописаны несколько алиасов то SNAT отлично работает с них со всех, проверялось и не один раз.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	6. "NAT (iptables + MASQUERADE). Использование другого source IP."	+/–
	Сообщение от reader (ok) on 03-Авг-10, 21:51
	>[оверквотинг удален] >>>Спасибо >> >>я так не извращался. вы пробовали запускать tcpdump на интерфейсе с nat, >>действительно ли пакеты не уходят, может все таки шлюз не знает >>куда ответы слать? > >Посмотрю сейчас. Но скорее всего шлюз работает нормально. Если я адрес, что >указываю в ключе --to-source, устанавливаю на интерфейс сервера - все работает. >(т.е сервер нормально "ходит" в Интернет, я могу на этот IP >зайти через SSH) вы не путайте. когда вы указываете ip на интерфейсе, то в процессе работы в arp таблице шлюза будет этот адрес и шлюз будет знать куда слать пакеты, а если на интерфейсе этого адреса нет, то шлюз и не знает у кого этот адрес. > >Может вообще пакеты не уходят после POSTROUTING, либо сервер нормально не воспринимает >входящие пакеты (ответы). В них ведь destination IP указан не тот, >что прописан для eth0). >Может дропаются просто. > >Спасибо в общем проверил то что вы хотите, в --to-source можно указать адрес не прописанный на интерфейсе, но на шлюзе пришлось прописать маршрут к этому ip
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору