форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"IPTABLES устранить подмену ip адресов на LAN_IF"

Сообщение от HappyS (ok) on 28-Сен-07, 10:47

Как сделать, чтобы не подменялся ip адрес, приходящий с LAN интерфейса ip адресом WAN интерфейса, а проходил дальше до следующего звена в неизмененном виде с помощью IPTABLES У меня на LAN интерфейсе алиасы разных подсетей. Надо подсети с публичными ip адресами сделать доступными из-вне

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "IPTABLES устранить подмену ip адресов на LAN_IF"

Сообщение от reader (ok) on 28-Сен-07, 12:39

в SNAT указать ip, которые не нужно натить

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "IPTABLES устранить подмену ip адресов на LAN_IF"
	Сообщение от HappyS (ok) on 28-Сен-07, 13:49
	>в SNAT указать ip, которые не нужно натить У меня схема такая *filter :INPUT ACCEPT [6119:344155] :FORWARD ACCEPT [1685:1247089] :OUTPUT ACCEPT [13109:4296753] :server_name - [0:0] -A FORWARD -j server_name COMMIT *nat :PREROUTING ACCEPT [3502:172884] :POSTROUTING ACCEPT [106:6858] :OUTPUT ACCEPT [85:5718] -A POSTROUTING -s 192.168.0.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -j SNAT --to -source 195.195.195.195 -A POSTROUTING -s 212.74.222.144/255.255.255.240 -d 212.74.222.144/255.255.255.240 -j SNAT --to -source 195.195.195.195 где 195,195,195,195 - WAN_if сервера server_name В этом случае ip адреса подсети 212.74.222.144/28 не пингуются снаружи WAN_if Какой правильный синтаксис для правила SNAT в моем случае?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "IPTABLES устранить подмену ip адресов на LAN_IF"
	Сообщение от HappyS (ok) on 28-Сен-07, 14:02
	Может быть надо не всю подсеть переадресовывать с помощью SNAT а каждый ip адрес подсети со своим правилом / Так я думаю? ??? например -A POSTROUTING -s 192.168.0.0/255.255.255.0 -d 192.168.0.0/255.255.255.0 -j SNAT --to -source 195.195.195.195 -A POSTROUTING -s 212.74.222.145/255.255.255.240 -d 212.74.222.145/255.255.255.240 -j SNAT --to -source 195.195.195.195 -A POSTROUTING -s 212.74.222.146/255.255.255.240 -d 212.74.222.146/255.255.255.240 -j SNAT --to -source 195.195.195.195 etc
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "IPTABLES устранить подмену ip адресов на LAN_IF"
	Сообщение от reader (ok) on 28-Сен-07, 17:47
	а с LAN интерфейса какие ip источника?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "IPTABLES устранить подмену ip адресов на LAN_IF"
	Сообщение от HappyS (ok) on 01-Окт-07, 10:12
	>а с LAN интерфейса какие ip источника? публичный адрес
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "IPTABLES устранить подмену ip адресов на LAN_IF"
	Сообщение от reader (ok) on 01-Окт-07, 11:43
	>>а с LAN интерфейса какие ip источника? > >публичный адрес -A POSTROUTING -o WAN_интерфейса -s ! LAN_IP -j SNAT --to -source 195.195.195.195 не будет подмены адреса источника в пакетах уходящих через WAN_интерфейса с адресом LAN_IP, остальные будут нататься
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "IPTABLES устранить подмену ip адресов на LAN_IF"
	Сообщение от HappyS (ok) on 01-Окт-07, 12:27
	У меня срабатывает правило -A POSTROUTING -s $PUBLIC_NET -d ! $PUBLIC_NET -j SNAT --to -source WAN_IP но не срабатывает теперь правило -A POSTROUTING -s 192.168.1.0/255.255.255.0 -d ! 192.168.1.0/255.255.255.0 -j SNAT --to -source WAN_IP не выходят на WAN_IP внутренние ip адреса. Может их не натить?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "IPTABLES устранить подмену ip адресов на LAN_IF"
	Сообщение от reader (ok) on 01-Окт-07, 16:15
	1 >У меня срабатывает правило >-A POSTROUTING -s $PUBLIC_NET -d ! $PUBLIC_NET -j SNAT --to -source WAN_IP > >но не срабатывает теперь правило >-A POSTROUTING -s 192.168.1.0/255.255.255.0 -d ! 192.168.1.0/255.255.255.0 -j SNAT --to -source WAN_IP > >не выходят на WAN_IP внутренние ip адреса. Может их не натить? если подсеть 192.168.1.0/255.255.255.0 выпускаете в инет через WAN_IP, то нужно натить иначе, провайдер или на каком нибуть следующем маршрутизаторе, эти пакеты убьют
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "IPTABLES устранить подмену ip адресов на LAN_IF"
	Сообщение от HappyS (ok) on 01-Окт-07, 16:28
	>[оверквотинг удален] >>У меня срабатывает правило >>-A POSTROUTING -s $PUBLIC_NET -d ! $PUBLIC_NET -j SNAT --to -source WAN_IP >> >>но не срабатывает теперь правило >>-A POSTROUTING -s 192.168.1.0/255.255.255.0 -d ! 192.168.1.0/255.255.255.0 -j SNAT --to -source WAN_IP >> >>не выходят на WAN_IP внутренние ip адреса. Может их не натить? > >если подсеть 192.168.1.0/255.255.255.0 выпускаете в инет через WAN_IP, то нужно натить иначе, >провайдер или на каком нибуть следующем маршрутизаторе, эти пакеты убьют Конечно натить внутренние ip мне надо и мне все равно что с ними бюудет за WAN интерфейсом, а вот публичные подсети, которых несколько мненадо пропускать без маскирования, без подмены адресов WAN ip адресом. Вот и вопрос - почему внутренние ip не выходят в интернет через WAN_IP? С внешними разобрался - все выходят и пингуются. Помог SNAT
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]