forum.opennet.ru - "iptables доступ в 2 подсети" (5)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"iptables доступ в 2 подсети"

Форум Информационная безопасность (Linux iptables, ipchains / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"iptables доступ в 2 подсети"	+/–
Сообщение от ximik666 (ok) on 19-Дек-12, 23:04
Добрый день. имеется сервер виртуализации (Proxmox). На нем есть 3 сетевых интерфейса 1. eth0 смотрит в интернет , имеет ip адрес 100.100.100.100. 2. eth1 смотрит в локальную сеть, имеет адрес 192.168.31.200. 2. vmbr0 виртуальный интерфейс, имеет адрес 10.10.10.1 (к нему подключаются виртуальные машины, они находятся в этой подсети). Доступ к интернету им организован вот так: post-up echo 1 > /proc/sys/net/ipv4/ip_forward post-up iptables -t nat -A POSTROUTING -s '10.10.10.0/24' -o eth0 -j MASQUERADE post-down iptables -t nat -D POSTROUTING -s '10.10.10.0/24' -o eth0 -j MASQUERADE Также снаружи прокинуты порты для виртуальных машин iptables -A PREROUTING -t nat -i eth0 -p tcp -d 100.100.100.100 --dport 80 -j DNAT --to 10.10.10.10:80 На один из виртуальных серверов (ip 10.10.10.60) был установлен сервер ivideon, которому одновременно необходим доступ в интернет по порту 443 и выход в локальную сеть к ip камере 192.168.31.201 по порту 5000. Теперь вопрос: каким образом это можно организовать доступ в 2 сети по определенным портам с помощью iptables? Заранее спасибо!
Ответить \| Правка \| Cообщить модератору

Оглавление

iptables доступ в 2 подсети, DearFriend, 01:21 , 20-Дек-12, (1)

iptables доступ в 2 подсети, ximik666, 09:50 , 20-Дек-12, (2)

iptables доступ в 2 подсети, reader, 12:28 , 20-Дек-12, (3)

iptables доступ в 2 подсети, ximik666, 12:38 , 20-Дек-12, (4)

iptables доступ в 2 подсети, reader, 12:51 , 20-Дек-12, (5)

Сообщения по теме [Сортировка по времени | RSS]

1. "iptables доступ в 2 подсети" +/–

Сообщение от DearFriend on 20-Дек-12, 01:21

добавить
post-up iptables -t nat -A POSTROUTING -s '10.10.10.60' -o eth1 -j MASQUERADE
по желанию уточнить порт.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "iptables доступ в 2 подсети" +/–

Сообщение от ximik666 (ok) on 20-Дек-12, 09:50

> добавить
> post-up iptables -t nat -A POSTROUTING -s '10.10.10.60' -o eth1 -j MASQUERADE
> по желанию уточнить порт.
Да я так и сделал , добавив при этом -p tcp --dport 5000
Просто я прочитал, что MASQUERADE не очень хороший вариант в плане производительности. И считается ли данный способ оптимальным?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "iptables доступ в 2 подсети" +/–

Сообщение от reader (ok) on 20-Дек-12, 12:28

>> добавить
>> post-up iptables -t nat -A POSTROUTING -s '10.10.10.60' -o eth1 -j MASQUERADE
>> по желанию уточнить порт.
> Да я так и сделал , добавив при этом -p tcp --dport
> 5000
> Просто я прочитал, что MASQUERADE не очень хороший вариант в плане производительности.
вместо MASQUERADE использовать SNAT
> И считается ли данный способ оптимальным?
нет, на 192.168.31.201 прописать маршрут к 10.10.10.0/24, а nat убрать

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "iptables доступ в 2 подсети" +/–

Сообщение от ximik666 (ok) on 20-Дек-12, 12:38

>>> добавить
>>> post-up iptables -t nat -A POSTROUTING -s '10.10.10.60' -o eth1 -j MASQUERADE
>>> по желанию уточнить порт.
>> Да я так и сделал , добавив при этом -p tcp --dport
>> 5000
>> Просто я прочитал, что MASQUERADE не очень хороший вариант в плане производительности.
> вместо MASQUERADE использовать SNAT
>> И считается ли данный способ оптимальным?
> нет, на 192.168.31.201 прописать маршрут к 10.10.10.0/24, а nat убрать
но ведь соединение от 10.10.10.60 к ip камере 192.168.31.201
Получается что маршрут нужно будет прописать на 10.10.10.60?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "iptables доступ в 2 подсети" +/–

Сообщение от reader (ok) on 20-Дек-12, 12:51

>>>> добавить
>>>> post-up iptables -t nat -A POSTROUTING -s '10.10.10.60' -o eth1 -j MASQUERADE
>>>> по желанию уточнить порт.
>>> Да я так и сделал , добавив при этом -p tcp --dport
>>> 5000
>>> Просто я прочитал, что MASQUERADE не очень хороший вариант в плане производительности.
>> вместо MASQUERADE использовать SNAT
>>> И считается ли данный способ оптимальным?
>> нет, на 192.168.31.201 прописать маршрут к 10.10.10.0/24, а nat убрать
> но ведь соединение от 10.10.10.60 к ip камере 192.168.31.201
маршрут нужен для ответных пакетов
> Получается что маршрут нужно будет прописать на 10.10.10.60?
если 10.10.10.1 не прописан шлюзом по умолчанию

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "iptables доступ в 2 подсети"	+/–
Сообщение от DearFriend on 20-Дек-12, 01:21
добавить post-up iptables -t nat -A POSTROUTING -s '10.10.10.60' -o eth1 -j MASQUERADE по желанию уточнить порт.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "iptables доступ в 2 подсети"	+/–
	Сообщение от ximik666 (ok) on 20-Дек-12, 09:50
	> добавить > post-up iptables -t nat -A POSTROUTING -s '10.10.10.60' -o eth1 -j MASQUERADE > по желанию уточнить порт. Да я так и сделал , добавив при этом -p tcp --dport 5000 Просто я прочитал, что MASQUERADE не очень хороший вариант в плане производительности. И считается ли данный способ оптимальным?
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "iptables доступ в 2 подсети"	+/–
	Сообщение от reader (ok) on 20-Дек-12, 12:28
	>> добавить >> post-up iptables -t nat -A POSTROUTING -s '10.10.10.60' -o eth1 -j MASQUERADE >> по желанию уточнить порт. > Да я так и сделал , добавив при этом -p tcp --dport > 5000 > Просто я прочитал, что MASQUERADE не очень хороший вариант в плане производительности. вместо MASQUERADE использовать SNAT > И считается ли данный способ оптимальным? нет, на 192.168.31.201 прописать маршрут к 10.10.10.0/24, а nat убрать
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "iptables доступ в 2 подсети"	+/–
	Сообщение от ximik666 (ok) on 20-Дек-12, 12:38
	>>> добавить >>> post-up iptables -t nat -A POSTROUTING -s '10.10.10.60' -o eth1 -j MASQUERADE >>> по желанию уточнить порт. >> Да я так и сделал , добавив при этом -p tcp --dport >> 5000 >> Просто я прочитал, что MASQUERADE не очень хороший вариант в плане производительности. > вместо MASQUERADE использовать SNAT >> И считается ли данный способ оптимальным? > нет, на 192.168.31.201 прописать маршрут к 10.10.10.0/24, а nat убрать но ведь соединение от 10.10.10.60 к ip камере 192.168.31.201 Получается что маршрут нужно будет прописать на 10.10.10.60?
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "iptables доступ в 2 подсети"	+/–
	Сообщение от reader (ok) on 20-Дек-12, 12:51
	>>>> добавить >>>> post-up iptables -t nat -A POSTROUTING -s '10.10.10.60' -o eth1 -j MASQUERADE >>>> по желанию уточнить порт. >>> Да я так и сделал , добавив при этом -p tcp --dport >>> 5000 >>> Просто я прочитал, что MASQUERADE не очень хороший вариант в плане производительности. >> вместо MASQUERADE использовать SNAT >>> И считается ли данный способ оптимальным? >> нет, на 192.168.31.201 прописать маршрут к 10.10.10.0/24, а nat убрать > но ведь соединение от 10.10.10.60 к ip камере 192.168.31.201 маршрут нужен для ответных пакетов > Получается что маршрут нужно будет прописать на 10.10.10.60? если 10.10.10.1 не прописан шлюзом по умолчанию
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору