The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"NAT на Линуксе"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [ Отслеживать ]

"NAT на Линуксе"  
Сообщение от virtuoz email(ok) on 14-Окт-08, 16:56 
Добрый вечер. Перейду сразу к своей проблеме что не получаетс сделать:

1. пытаюсь по ssh выйти с компа 192.168.13.2 на комп 172.16.13.2
2. на сервере SuSe 2 сетевые карты eth1 - 172.16.13.1 и eth0 - 192.168.13.1

Настройки следующие:

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

далее разрешаю входящее 2-м компам разных сетей

iptables -A INPUT -s 172.16.13.2 -j ACCEPT
iptables -A INPUT -s 192.168.13.2 -j ACCEPT

далее сторою NAT

iptables -t nat -A POSTROUTING -s 192.168.13.2 -d 172.16.13.2 -p tcp -j MASQUERADE

шлюз пингуется с любой машины. но вот машины из разных сетей не пингуются и по ssh друг на друга не заходят :(      #sshd поднят

Подскажите пожлауйста что сделал не так ? Есть ли взаимосвязь между POSTROUTING и PREROUTING ? Может надо SNAT а не MASQUERADE, если да то как ?
Все перепробовал ничего не получается...

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "NAT на Линуксе"  
Сообщение от PavelR (??) on 14-Окт-08, 16:59 
>[оверквотинг удален]
>MASQUERADE
>
>шлюз пингуется с любой машины. но вот машины из разных сетей не
>пингуются и по ssh друг на друга не заходят :(  
>    #sshd поднят
>
>Подскажите пожлауйста что сделал не так ? Есть ли взаимосвязь между POSTROUTING
>и PREROUTING ? Может надо SNAT а не MASQUERADE, если да
>то как ?
>Все перепробовал ничего не получается...

полное непонимание сути работы айпи сетей.

Нафига нат, если 2 машины подключены к третьей напрямую.
iptables -P FORWARD DROP


почитайте как работает iptables,как по нему бегают пакеты и для чего нужна каждая цепочка.

В частности, у вас фсе не работает из-за: iptables -P FORWARD DROP

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "NAT на Линуксе"  
Сообщение от virtuoz email(ok) on 14-Окт-08, 17:13 
>[оверквотинг удален]
>
>Нафига нат, если 2 машины подключены к третьей напрямую.
>iptables -P FORWARD DROP
>
>
>почитайте как работает iptables,как по нему бегают пакеты и для чего нужна
>каждая цепочка.
>
>В частности, у вас фсе не работает из-за: iptables -P FORWARD DROP
>

У меня 2 больше сети.

Всем доступ давать к ресурсам нельзя. могу конечно так сделать

iptables -A FORWARD -m mac -mac-source XX:XX:XX:XX:XX:XX -j ACCEPT

но есть альтернативные методы?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Что не так"  
Сообщение от Andrey Mitrofanov on 14-Окт-08, 17:39 
>Подскажите пожлауйста что сделал не так ?

0.5/ ((В предположении, что действительно нужен NAT....))

1/ Ловил "транзитные" пакеты в INPUT.

2/ Маскарадил пинги с "-p tcp".

2.1/ ((Отсюда не видно, возможно, не включил ip_forward.))

> Может надо SNAT а не MASQUERADE, если да то как ?

3/ Нам - не надо. Если да, то так:
google.ru
SNAT MASQUERADE site:opennet.ru
ENTER

> Все перепробовал ничего не получается...

4/ Не всё.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Что не так"  
Сообщение от virtuoz email(ok) on 15-Окт-08, 10:36 
Поставлю вопрос по другому:

Компьютер А - 172.16.13.2
Интерфейс eth 1 маршрутизатора в сторону А - 172.16.13.1
Интерфейс eth 0 маршрутизатора в сторону Б - 192.168.13.1
Компьютер Б - 192.168.13.2

Необъходимо:

Организовать SNAT между этими сетями, чтобы можно было получить доступ с компьютера Б к компьютеру А через NAT а не напрямую. Как это сделать?

Параметры:
ip_forward=1

Настройки iptables пустые. по умолчанию на filter сделано

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Что не так"  
Сообщение от reader (ok) on 15-Окт-08, 11:11 
>Поставлю вопрос по другому:
>
>Компьютер А - 172.16.13.2

шлюзом прописать 172.16.13.1
>Интерфейс eth 1 маршрутизатора в сторону А - 172.16.13.1
>Интерфейс eth 0 маршрутизатора в сторону Б - 192.168.13.1
>Компьютер Б - 192.168.13.2

шлюзом прописать 192.168.13.1
>
>Необъходимо:
>
>Организовать SNAT между этими сетями, чтобы можно было получить доступ с компьютера
>Б к компьютеру А через NAT а не напрямую. Как это
>сделать?
>

на маршрутизаторе
>Параметры:
>ip_forward=1
>
>Настройки iptables пустые. по умолчанию на filter сделано
>
>iptables -P INPUT DROP
>iptables -P FORWARD DROP
>iptables -P OUTPUT DROP

iptables -A FORWARD -s 172.16.13.2 -j ACCEPT
iptables -A FORWARD -s 192.168.13.2 -j ACCEPT

если не хотите обезличивать пакеты, пришедшие из другой подсети , то SNAT не нужен, а если хотите то
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.13.1
iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 172.16.13.1

и читать
https://www.opennet.ru/docs/RUS/iptables/

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Что не так"  
Сообщение от virtuoz email(ok) on 15-Окт-08, 11:58 
>iptables -A FORWARD -s 172.16.13.2 -j ACCEPT
>iptables -A FORWARD -s 192.168.13.2 -j ACCEPT
>
>если не хотите обезличивать пакеты, пришедшие из другой подсети , то SNAT
>не нужен, а если хотите то
>iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.13.1
>iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 172.16.13.1
>
>и читать
>https://www.opennet.ru/docs/RUS/iptables/

Сделал Вашим методом, вроде работает, пакеты через NAT ходят но есть и непонятности.

На скрине видно что запросы идут как от шлюза так и от клиента напрямую. Сомнительное подчеркнул красным:

http://trash.evermore.ru/f/3625_e1f.jpg

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Что не так"  
Сообщение от reader (ok) on 15-Окт-08, 12:16 
>[оверквотинг удален]
>>и читать
>>https://www.opennet.ru/docs/RUS/iptables/
>
>Сделал Вашим методом, вроде работает, пакеты через NAT ходят но есть и
>непонятности.
>
>На скрине видно что запросы идут как от шлюза так и от
>клиента напрямую. Сомнительное подчеркнул красным:
>
>http://trash.evermore.ru/f/3625_e1f.jpg

на какой машине и на каком интерфейсе снимался?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Что не так"  
Сообщение от virtuoz email(ok) on 15-Окт-08, 12:47 
>[оверквотинг удален]
>>
>>Сделал Вашим методом, вроде работает, пакеты через NAT ходят но есть и
>>непонятности.
>>
>>На скрине видно что запросы идут как от шлюза так и от
>>клиента напрямую. Сомнительное подчеркнул красным:
>>
>>http://trash.evermore.ru/f/3625_e1f.jpg
>
>на какой машине и на каком интерфейсе снимался?

На машине А. Интерфейс единственный eth1 - 172.16.13.2

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Что не так"  
Сообщение от Temik email on 15-Окт-08, 11:48 
>[оверквотинг удален]
>сделать?
>
>Параметры:
>ip_forward=1
>
>Настройки iptables пустые. по умолчанию на filter сделано
>
>iptables -P INPUT DROP
>iptables -P FORWARD DROP
>iptables -P OUTPUT DROP

Попробуй так

iptables -A FORWARD -s 192.168.13.2/32 -d 172.16.13.2/32 -j ACCEPT
iptables -A FORWARD -s 172.16.13.2/32 -d 192.168.13.2/32 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.13.2/32 -d 172.16.13.2/32 -j SNAT --to-source 172.16.13.1
iptables -t nat -A POSTROUTING -s 172.16.13.2/32 -d 192.168.13.2/32 -j SNAT --to-source 192.168.13.1

Вроде должно работать...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Что не так"  
Сообщение от virtuoz email(ok) on 15-Окт-08, 13:04 
>[оверквотинг удален]
>Попробуй так
>
>iptables -A FORWARD -s 192.168.13.2/32 -d 172.16.13.2/32 -j ACCEPT
>iptables -A FORWARD -s 172.16.13.2/32 -d 192.168.13.2/32 -j ACCEPT
>iptables -t nat -A POSTROUTING -s 192.168.13.2/32 -d 172.16.13.2/32 -j SNAT --to-source
>172.16.13.1
>iptables -t nat -A POSTROUTING -s 172.16.13.2/32 -d 192.168.13.2/32 -j SNAT --to-source
>192.168.13.1
>
>Вроде должно работать...

От такая проблемкас :(

http://trash.evermore.ru/f/3625_e1f.jpg

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Что не так"  
Сообщение от reader (ok) on 15-Окт-08, 14:57 
>[оверквотинг удален]
>>iptables -t nat -A POSTROUTING -s 192.168.13.2/32 -d 172.16.13.2/32 -j SNAT --to-source
>>172.16.13.1
>>iptables -t nat -A POSTROUTING -s 172.16.13.2/32 -d 192.168.13.2/32 -j SNAT --to-source
>>192.168.13.1
>>
>>Вроде должно работать...
>
>От такая проблемкас :(
>
>http://trash.evermore.ru/f/3625_e1f.jpg

в iptables -t nat -A POSTROUTING протокол указывали?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Что не так"  
Сообщение от virtuoz email(ok) on 15-Окт-08, 15:55 
>[оверквотинг удален]
>>>iptables -t nat -A POSTROUTING -s 172.16.13.2/32 -d 192.168.13.2/32 -j SNAT --to-source
>>>192.168.13.1
>>>
>>>Вроде должно работать...
>>
>>От такая проблемкас :(
>>
>>http://trash.evermore.ru/f/3625_e1f.jpg
>
>в iptables -t nat -A POSTROUTING протокол указывали?

Нет. Я так думаю если не указать то по умолчанию для всех протоколов правило работает ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Что не так"  
Сообщение от virtuoz email(ok) on 15-Окт-08, 17:15 
Отбой тревоги. Спасибо ребят вроде все работает :) Я просто тспдампом снифил в promiscious режиме, наверно из-за этого были мысли пошлые о плохой работе гейта :)

http://trash.evermore.ru/f/3632_4b0.jpg

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру