 Iptables vs. SNAT/DNAT,  Simps, 27-Фев-07, 11:21 [смотреть все]В то время как космические корабли бороздят просторы вселенной, мне стыдно признаться, но я не могу завести SNAT/DNAT на linux =(есть: Ubuntu Server 6.10, iptables v1.3.5 Два интерфейса: внешний eth0 и внутренний eth2. На внутреннем интерфейсе сеть 10.0.0.0/30 для линковки с другим маршрутизатором (FreeBSD). На FreeBSD с помощью ipfw'ного fwd форвардится сеть 192.168.0.0/16 на Ubuntu. На Ubuntu пытаюсь сделать SNAT на эту сеть:
$IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to диапозон_внешних_адресов В итоге tcpdump'ом на eth2, на Ubuntu, я вижу что пакеты с 192.168.0.0/16 приходят и на этом всё для них заканчивается. SNAT не работает. Пробовал и DNAT на eth2, тоже самое - пакеты вижу и не работает! В чем может быть проблема? Грешу на какую нибудь параноидальную защиту ибо больше ничего на ум не приходит. ip_forwarding включен. Более того "ping -S 192.168.52.23 www.ru" работает и счетчики на правиле SNAT тикают!
|
- Iptables vs. SNAT/DNAT, Virtual, 11:54 , 27-Фев-07 (1)
>В то время как космические корабли бороздят просторы вселенной, мне стыдно признаться,
>но я не могу завести SNAT/DNAT на linux =(
>
>есть: Ubuntu Server 6.10, iptables v1.3.5
>
>Два интерфейса: внешний eth0 и внутренний eth2. На внутреннем интерфейсе сеть 10.0.0.0/30
>для линковки с другим маршрутизатором (FreeBSD). На FreeBSD с помощью ipfw'ного
>fwd форвардится сеть 192.168.0.0/16 на Ubuntu. На Ubuntu пытаюсь сделать SNAT
>на эту сеть:
>$IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to диапозон_внешних_адресов
>
>В итоге tcpdump'ом на eth2, на Ubuntu, я вижу что пакеты с
>192.168.0.0/16 приходят и на этом всё для них заканчивается. SNAT не
>работает. Пробовал и DNAT на eth2, тоже самое - пакеты вижу
>и не работает! В чем может быть проблема? Грешу на какую
>нибудь параноидальную защиту ибо больше ничего на ум не приходит. ip_forwarding
>включен. Более того "ping -S 192.168.52.23 www.ru" работает и счетчики на
>правиле SNAT тикают! глянь парметр
ip_forward=
в файле /etc/network/optoins
поставь его в yes
ip_forward=yes
ну ребут потом и вроде все должно зашевелиться
- Iptables vs. SNAT/DNAT, Simps, 11:59 , 27-Фев-07 (2)
>>В то время как космические корабли бороздят просторы вселенной, мне стыдно признаться,
>>но я не могу завести SNAT/DNAT на linux =(
>>
>>есть: Ubuntu Server 6.10, iptables v1.3.5
>>
>>Два интерфейса: внешний eth0 и внутренний eth2. На внутреннем интерфейсе сеть 10.0.0.0/30
>>для линковки с другим маршрутизатором (FreeBSD). На FreeBSD с помощью ipfw'ного
>>fwd форвардится сеть 192.168.0.0/16 на Ubuntu. На Ubuntu пытаюсь сделать SNAT
>>на эту сеть:
>>$IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to диапозон_внешних_адресов
>>
>>В итоге tcpdump'ом на eth2, на Ubuntu, я вижу что пакеты с
>>192.168.0.0/16 приходят и на этом всё для них заканчивается. SNAT не
>>работает. Пробовал и DNAT на eth2, тоже самое - пакеты вижу
>>и не работает! В чем может быть проблема? Грешу на какую
>>нибудь параноидальную защиту ибо больше ничего на ум не приходит. ip_forwarding
>>включен. Более того "ping -S 192.168.52.23 www.ru" работает и счетчики на
>>правиле SNAT тикают!
>
>глянь парметр
>ip_forward=
>в файле /etc/network/optoins
>поставь его в yes
>ip_forward=yes
>ну ребут потом и вроде все должно зашевелиться Это было первое на что я грешил, и оно включено
- Iptables vs. SNAT/DNAT, Virtual, 12:00 , 27-Фев-07 (3)
>>В то время как космические корабли бороздят просторы вселенной, мне стыдно признаться,
>>но я не могу завести SNAT/DNAT на linux =(
>>
>>есть: Ubuntu Server 6.10, iptables v1.3.5
>>
>>Два интерфейса: внешний eth0 и внутренний eth2. На внутреннем интерфейсе сеть 10.0.0.0/30
>>для линковки с другим маршрутизатором (FreeBSD). На FreeBSD с помощью ipfw'ного
>>fwd форвардится сеть 192.168.0.0/16 на Ubuntu. На Ubuntu пытаюсь сделать SNAT
>>на эту сеть:
>>$IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to диапозон_внешних_адресов
>>
>>В итоге tcpdump'ом на eth2, на Ubuntu, я вижу что пакеты с
>>192.168.0.0/16 приходят и на этом всё для них заканчивается. SNAT не
>>работает. Пробовал и DNAT на eth2, тоже самое - пакеты вижу
>>и не работает! В чем может быть проблема? Грешу на какую
>>нибудь параноидальную защиту ибо больше ничего на ум не приходит. ip_forwarding
>>включен. Более того "ping -S 192.168.52.23 www.ru" работает и счетчики на
>>правиле SNAT тикают!
>
>глянь парметр
>ip_forward=
>в файле /etc/network/optoins
>поставь его в yes
>ip_forward=yes
>ну ребут потом и вроде все должно зашевелиться
извеняюсь невнимательно прочитал, может правило не правильно пишеш?попробуй так
IPTABLES -t nat -A POSTROUTING -o <IP адрес FreeBSD> -j SNAT --to-source <IP адрес eth2>
пакеты с фри должны проваливаться попробуй прописывать не по имени интерфейса а по IP с DNATом намного сложнее
- Iptables vs. SNAT/DNAT, Virtual, 12:02 , 27-Фев-07 (4)
опять ошибся>IPTABLES -t nat -A POSTROUTING -s <IP адрес FreeBSD> -j SNAT --to-source <IP адрес eth2>
- Iptables vs. SNAT/DNAT, Virtual, 12:11 , 27-Фев-07 (5)
если схема такаяeth0<UBINTU>eth2----FreeBSD то для трансляции пакетов через убунту от фри на eth0 IPTABLES -t nat -A POSTROUTING -s <IP адрес FreeBSD> -j SNAT --to-source <IP адрес eth0> и обратно с eth0 через убунту на фрю IPTABLES -t nat -A PREROUTING -p ALL -d <IP адрес eth0> -j DNAT --to-destination <IP адрес FreeBSD>
- Iptables vs. SNAT/DNAT, Simps, 12:13 , 27-Фев-07 (6)
>если схема такая
>
>eth0<UBINTU>eth2----FreeBSD
>
>то для трансляции пакетов через убунту от фри на eth0
>
>IPTABLES -t nat -A POSTROUTING -s <IP адрес FreeBSD> -j SNAT --to-source <IP адрес eth0>
>
>и обратно с eth0 через убунту на фрю
>
>IPTABLES -t nat -A PREROUTING -p ALL -d <IP адрес eth0> -j DNAT --to-destination <IP адрес FreeBSD>
Фишка в том что адрес FreeBSD к SNAT отношения не имеет. FreeBSD форвардит сетки которые нужно натить. Например 192.168.0.0/16, 172.20.0.0/12 и тд ...
- Iptables vs. SNAT/DNAT, Virtual, 12:19 , 27-Фев-07 (7)
>>если схема такая
>>
>>eth0<UBINTU>eth2----FreeBSD
>>
>>то для трансляции пакетов через убунту от фри на eth0
>>
>>IPTABLES -t nat -A POSTROUTING -s <IP адрес FreeBSD> -j SNAT --to-source <IP адрес eth0>
>>
>>и обратно с eth0 через убунту на фрю
>>
>>IPTABLES -t nat -A PREROUTING -p ALL -d <IP адрес eth0> -j DNAT --to-destination <IP адрес FreeBSD>
>
>
>Фишка в том что адрес FreeBSD к SNAT отношения не имеет. FreeBSD
>форвардит сетки которые нужно натить. Например 192.168.0.0/16, 172.20.0.0/12 и тд ...
>тогда так IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/16 -j SNAT --to-source <IP адрес eth0>
IPTABLES -t nat -A POSTROUTING -s 172.20.0.0/16 -j SNAT --to-source <IP адрес eth0> для каждой сети по правилу, а вот обратно DNAT тут уже нужно думать кому какой порт на какой IP
- Iptables vs. SNAT/DNAT, KRIM, 09:19 , 28-Фев-07 (8)
а в Ubuntu таблица FORWARD по умолчанию как настроена?
надо либо все разрешиать, либо под НАТ и сетки делать отдельные правила.
Если мысль не ясна напишу конкретные правила, сейчас влом. :))
удачи
|
Версия для распечатки
