Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
asymmetric dnat
View unanswered posts
View posts from last 24 hours

 
Reply to topic    Gentoo Forums Forum Index Russian
View previous topic :: View next topic  
Author Message
[clu]
Apprentice
Apprentice


Joined: 23 Feb 2004
Posts: 160
Location: 127.0.0.1

PostPosted: Thu Mar 30, 2006 12:05 pm    Post subject: asymmetric dnat Reply with quote

доброго дня.
в один чудесный день начала весны всплыла интересная с такими исходными данными:

net: 10.10.0.0/24
main gw: eth0 10.10.0.254, eth1 194.93.x.x., eth2 ...,eth3... значение не имеют.
железяка: eth0 10.10.0.155, tun0 213.179.x.x.
web server: eth0 10.10.0.1

условия:

194.93.x.x - канал в UA-IX, 213.179.х.х в мир. маршутизация строится таким образом: все пакеты направляются на центральный шлюз. там: для украинских сетей прописаных статически в таблицу маршутизации установлен шлюз 194.93.x.1 через eth1, для всего остального - шлюз по умолчанию 10.10.0.155.
нат выполнятся таким образом

# Generated by iptables-save v1.3.2 on Thu Mar 30 14:54:17 2006
*nat
:PREROUTING ACCEPT [596589:78603763]
:POSTROUTING ACCEPT [23075:1969405]
:OUTPUT ACCEPT [12667:2760773]
-A PREROUTING -d 194.93.x.x -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.10.0.1:80
-A PREROUTING -d 194.93.x.x -p tcp -m tcp --dport 21 -j DNAT --to-destination 10.10.0.1:21
-A POSTROUTING -s 10.10.0.0/255.255.255.0 -d ! 10.10.0.0/255.255.255.0 -j SNAT --to-source 194.93.x.x
-A OUTPUT -d 194.93.x.x -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.10.0.1:80
-A OUTPUT -d 194.93.x.x -p tcp -m tcp --dport 21 -j DNAT --to-destination 10.10.0.1:21
COMMIT
# Completed on Thu Mar 30 14:54:17 2006

на 10.10.0.155 нат только для 10.10.0.254

при этом днат не работает ?

задача: доступ к вэб-серверу находящегося во внутренней сети.
Back to top
View user's profile Send private message
[clu]
Apprentice
Apprentice


Joined: 23 Feb 2004
Posts: 160
Location: 127.0.0.1

PostPosted: Fri Mar 31, 2006 6:45 am    Post subject: Reply with quote

похоже эффективнее перестроить сеть
Back to top
View user's profile Send private message
fank
l33t
l33t


Joined: 16 Oct 2004
Posts: 794
Location: Minsk, Belarus

PostPosted: Sat Apr 01, 2006 5:02 am    Post subject: Reply with quote

если не ошибаюсь, в туториале по iptables рассматривалась такая ситуация
советовали изменить DNAT на SNAT
Back to top
View user's profile Send private message
[clu]
Apprentice
Apprentice


Joined: 23 Feb 2004
Posts: 160
Location: 127.0.0.1

PostPosted: Tue Apr 04, 2006 1:02 pm    Post subject: Reply with quote

как я понял тут стоит дело в выборе маршрута до того как пакет пройдет к маршрутизатору. т.е. если я имею запись xxx.com ссылающуюся на 194.93.xx.yy для ua-ix то для всех остальных это должен быть 213.179.xx.xx или есди по ип-адрессам тогда вообще все для меня запутано.
ещё это можно сделать на уровне dns сервера, но писать в него список украинских сетей ... :\
Back to top
View user's profile Send private message
fank
l33t
l33t


Joined: 16 Oct 2004
Posts: 794
Location: Minsk, Belarus

PostPosted: Tue Apr 04, 2006 1:18 pm    Post subject: Reply with quote

ты толком распиши свою схему, а то по твоему первому посту нифига не понятно
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Russian All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum