View previous topic :: View next topic |
Author |
Message |
[clu] Apprentice
Joined: 23 Feb 2004 Posts: 160 Location: 127.0.0.1
|
Posted: Thu Mar 30, 2006 12:05 pm Post subject: asymmetric dnat |
|
|
доброго дня.
в один чудесный день начала весны всплыла интересная с такими исходными данными:
net: 10.10.0.0/24
main gw: eth0 10.10.0.254, eth1 194.93.x.x., eth2 ...,eth3... значение не имеют.
железяка: eth0 10.10.0.155, tun0 213.179.x.x.
web server: eth0 10.10.0.1
условия:
194.93.x.x - канал в UA-IX, 213.179.х.х в мир. маршутизация строится таким образом: все пакеты направляются на центральный шлюз. там: для украинских сетей прописаных статически в таблицу маршутизации установлен шлюз 194.93.x.1 через eth1, для всего остального - шлюз по умолчанию 10.10.0.155.
нат выполнятся таким образом
# Generated by iptables-save v1.3.2 on Thu Mar 30 14:54:17 2006
*nat
:PREROUTING ACCEPT [596589:78603763]
:POSTROUTING ACCEPT [23075:1969405]
:OUTPUT ACCEPT [12667:2760773]
-A PREROUTING -d 194.93.x.x -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.10.0.1:80
-A PREROUTING -d 194.93.x.x -p tcp -m tcp --dport 21 -j DNAT --to-destination 10.10.0.1:21
-A POSTROUTING -s 10.10.0.0/255.255.255.0 -d ! 10.10.0.0/255.255.255.0 -j SNAT --to-source 194.93.x.x
-A OUTPUT -d 194.93.x.x -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.10.0.1:80
-A OUTPUT -d 194.93.x.x -p tcp -m tcp --dport 21 -j DNAT --to-destination 10.10.0.1:21
COMMIT
# Completed on Thu Mar 30 14:54:17 2006
на 10.10.0.155 нат только для 10.10.0.254
при этом днат не работает ?
задача: доступ к вэб-серверу находящегося во внутренней сети. |
|
Back to top |
|
|
[clu] Apprentice
Joined: 23 Feb 2004 Posts: 160 Location: 127.0.0.1
|
Posted: Fri Mar 31, 2006 6:45 am Post subject: |
|
|
похоже эффективнее перестроить сеть |
|
Back to top |
|
|
fank l33t
Joined: 16 Oct 2004 Posts: 794 Location: Minsk, Belarus
|
Posted: Sat Apr 01, 2006 5:02 am Post subject: |
|
|
если не ошибаюсь, в туториале по iptables рассматривалась такая ситуация
советовали изменить DNAT на SNAT |
|
Back to top |
|
|
[clu] Apprentice
Joined: 23 Feb 2004 Posts: 160 Location: 127.0.0.1
|
Posted: Tue Apr 04, 2006 1:02 pm Post subject: |
|
|
как я понял тут стоит дело в выборе маршрута до того как пакет пройдет к маршрутизатору. т.е. если я имею запись xxx.com ссылающуюся на 194.93.xx.yy для ua-ix то для всех остальных это должен быть 213.179.xx.xx или есди по ип-адрессам тогда вообще все для меня запутано.
ещё это можно сделать на уровне dns сервера, но писать в него список украинских сетей ... :\ |
|
Back to top |
|
|
fank l33t
Joined: 16 Oct 2004 Posts: 794 Location: Minsk, Belarus
|
Posted: Tue Apr 04, 2006 1:18 pm Post subject: |
|
|
ты толком распиши свою схему, а то по твоему первому посту нифига не понятно |
|
Back to top |
|
|
|