форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[Проследить за развитием треда]

"IPtables и NAT (SNAT)"

Сообщение от Random73 (ok) on 08-Ноя-07, 16:16

Многоуважаемый All, столкнулся с такой проблемой OS Linux Debian 4 iptables v1.3.6 Eth0 172.23.200.1 (сеть нашей организации) Eth1 172.23.201.250 (этот ИП выдала  мне организация "Х", сеть смотрит в организацию "Х"- через неё шлюз на сеть 172.23.86.0 (организация "Y")) Eth2 172.23.202.1 (участок нашей организации) route 172.23.86.0/24 gw 172.23.201.250 форвардинг включен 1 вопрос можно ли одним правилом прописать свободное хождение всех пакетов между eth0 и eth2, а то у меня: -A FORWARD -i eth0 -o eth2 -j ACCEPT -A FORWARD -i eth2 -o eth0 -j ACCEPT !!и 2ой вопрос: есть удалённая сеть 172.23.86.0 (у них фаервол включен и разрешён доступ к 2ум их компам 172.23.86.5 172.23.86.8 с одного нашего ИП 172.23.200.100) нам надо выходить с нескольких ИП (172.23.200.5 172.23.200.16 172.23.200.101 ну и 172.23.200.100) на оба их сервера. Прописал пробное правило: *nat :OUTPUT ACCEPT [0:0] :PREROUTING ACCEPT [0:0] :POSTROUTING ACCEPT [0:0] -A POSTROUTING -s 172.23.200.16 -d 172.23.86.5 ! -f -j SNAT --to-source 172.23.200.100 пингую - ответа нет узнал у организации "Y" эхо запросы они получают с IP 172.23.200.100, т.е. наш маршрутизатор ИП подменил, если включить маскарад по пинги проходят но у них (просто их дыра) опред нах ИП как eth1 В чём затык? хочется всё сделать через NAT, а не через маскарад...

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "IPtables и NAT (SNAT)"

Сообщение от tux2002 on 09-Ноя-07, 08:01

>[оверквотинг удален] >Eth0 172.23.200.1 (сеть нашей организации) >Eth1 172.23.201.250 (этот ИП выдала  мне организация "Х", сеть смотрит в >организацию "Х"- через неё шлюз на сеть 172.23.86.0 (организация "Y")) >Eth2 172.23.202.1 (участок нашей организации) >route 172.23.86.0/24 gw 172.23.201.250 >форвардинг включен >1 вопрос можно ли одним правилом прописать свободное хождение всех пакетов между >eth0 и eth2, а то у меня: >-A FORWARD -i eth0 -o eth2 -j ACCEPT >-A FORWARD -i eth2 -o eth0 -j ACCEPT Сделайте политику по умолчанию FORWARD ACCEPT >[оверквотинг удален] >-A POSTROUTING -s 172.23.200.16 -d 172.23.86.5 ! -f -j SNAT --to-source 172.23.200.100 > > >пингую - ответа нет >узнал у организации "Y" эхо запросы они получают с IP 172.23.200.100, т.е. >наш маршрутизатор ИП подменил, >если включить маскарад по пинги проходят но у них (просто их дыра) >опред нах ИП как eth1 >В чём затык? хочется всё сделать через NAT, а не через маскарад... > Затык в том что ответные пакеты SNAT честно валит на 172.23.200.100 можете на нём запустить tcpdump и пинговать удалённый сервер с 172.23.200.16 чтобы посмотреть. 172.23.200.100 Сам должен быть шлюзом и маскарадить для нескольких IP

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "IPtables и NAT (SNAT)"
	Сообщение от tux2002 on 09-Ноя-07, 08:22
	Можно попробовать на 172.23.200.100 с одним интерфейсом включить форвардинг, прописать маршрут по умолчанию на 172.23.200.1. Для 172.23.200.5 172.23.200.16 172.23.200.101 прописать маршрут по умолчанию на 172.23.200.100. На 172.23.200.100 включить SNAT для них при адресах назначения 172.23.86.5 172.23.86.8. На 172.23.200.1 SNAT выключить. Тогда например с 172.23.200.5 пакет в другую сеть -> 172.23.200.100 -> 172.23.200.1 Обратно 172.23.200.1 -> 172.23.200.5. Если попал под правило SNAT Обратно 172.23.200.1 -> 172.23.200.100 -> 172.23.200.5. Может будет работать.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "IPtables и NAT (SNAT)"
	Сообщение от Random73 (ok) on 09-Ноя-07, 09:24
	>Можно попробовать на 172.23.200.100 с одним интерфейсом включить форвардинг, прописать маршрут по >умолчанию на 172.23.200.1. Для 172.23.200.5 172.23.200.16 172.23.200.101 прописать маршрут по умолчанию >на 172.23.200.100. На 172.23.200.100 включить SNAT для них при адресах назначения >172.23.86.5 172.23.86.8. На 172.23.200.1 SNAT выключить. >Тогда например с 172.23.200.5 пакет в другую сеть -> 172.23.200.100 -> 172.23.200.1 >Обратно 172.23.200.1 -> 172.23.200.5. >Если попал под правило SNAT Обратно 172.23.200.1 -> 172.23.200.100 -> 172.23.200.5. > >Может будет работать. Это кривое решение... Tcpdump включаю - слежу непосредственно на интерфейсе.. ответа нет от 172.23.86.5 ни на один ИП... Да и НАТ он на то и нат чтобы когда проходили запросы через него он отвечал правильно там должна создаться таблица ната... а ваше предложение это через чур кривое... :) если у меня 100 машин так надо вытускать на разные подсети это все 100 обегать? да кстати на Винде фаервол так называемый Керио с это проблемой справлялся в 2 счёта (правило из одной строки) нео это винда :) и юзать как маршрутизатор сам понимаешь чревато последствиями
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "IPtables и NAT (SNAT)"
	Сообщение от Random73 (ok) on 12-Ноя-07, 09:36
	>> > > первый вопрос закрыт (проблема была в стороннем маршрутизаторе) остался первый вопрос
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "IPtables и NAT (SNAT)"
	Сообщение от Random73 (ok) on 09-Ноя-07, 08:41
	>[оверквотинг удален] >>route 172.23.86.0/24 gw 172.23.201.250 >>форвардинг включен >>1 вопрос можно ли одним правилом прописать свободное хождение всех пакетов между >>eth0 и eth2, а то у меня: >>-A FORWARD -i eth0 -o eth2 -j ACCEPT >>-A FORWARD -i eth2 -o eth0 -j ACCEPT > >Сделайте политику по умолчанию FORWARD ACCEPT > >>[оверквотинг удален] Это будет дыра у меня не 2 сетевые карты а много и соответственно не надо полный форвард
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]