Есть машина с 2-мя интерфейсами
на одном реальный ip, на втором внутренний
на реальный ip с шлюза маршрутизируется подсеть реальных ip адресов.
Вопрос: как эти адреса заводить на iptables?
в циске я поднимаю на эти ip адреса статический нат и они обрабатываются.
В iptables каким образом поступать? надо эти адреса статически пронатить во внутренние,
но как заставить iptables принимать эти пакеты? Алиасами эти ip повесить на внешнем интерфейсе? в какую стороны рыть?
>Есть машина с 2-мя интерфейсами
>на одном реальный ip, на втором внутренний
>на реальный ip с шлюза маршрутизируется подсеть реальных ip адресов.
с какого шлюза? а с какой стороны инет? как "подсеть реальных ip адресов" попадает в инрернет если она пророучена на вас?
>Вопрос: как эти адреса заводить на iptables?
Этот вопрост вообще непонятен
>в циске я поднимаю на эти ip адреса статический нат и они
>обрабатываются.
>В iptables каким образом поступать? надо эти адреса статически пронатить во внутренние,
>
>но как заставить iptables принимать эти пакеты? Алиасами эти ip повесить на
>внешнем интерфейсе? в какую стороны рыть?непонятна сама суть задачи, чтовы хотите сделать?
реальный ИП это значит внешний мир, разрешить кусочку мира ходить к вам в внутреннюю сеть?
или разрешить какие-то сервисы из внутренней сети?
Да что тут непонятного ? у человека реальные ипы типа.. вот, поробуйте просто sysctl net.ipv4.ip_forward=1 и iptables -t filter -P FORWARD ACCEPTпо идее все должно заработать.. по идее
>Да что тут непонятного ? у человека реальные ипы типа.. вот, поробуйте
>просто sysctl net.ipv4.ip_forward=1 и iptables -t filter -P FORWARD ACCEPT
>
>по идее все должно заработать.. по идеену это если его машинка является шлюзом для этих реальных ИП
и если эти реальные ИП не держат за собой такую-же серую подсеть
только судя и поста это не такiptables -t filter -P FORWARD ACCEPT - это дыра .....
>ну это если его машинка является шлюзом для этих реальных ИП
>и если эти реальные ИП не держат за собой такую-же серую подсеть
>
>только судя и поста это не так
>
>iptables -t filter -P FORWARD ACCEPT - это дыра .....Ясен пень... я всегда слабо втыкаю в вопросы на форуме.. ну нет во мне благородных
супартовских кровей :D
>Да что тут непонятного ?
гхм.. да .. наезд.. звиняйте
>Есть машина с 2-мя интерфейсами
>на одном реальный ip, на втором внутренний
>на реальный ip с шлюза маршрутизируется подсеть реальных ip адресов.
>Вопрос: как эти адреса заводить на iptables?
>в циске я поднимаю на эти ip адреса статический нат и они
>обрабатываются.
>В iptables каким образом поступать? надо эти адреса статически пронатить во внутренние,
>
>но как заставить iptables принимать эти пакеты? Алиасами эти ip повесить на
>внешнем интерфейсе? в какую стороны рыть?
предпологаю второй вариант вопроса:
у вас есть реальный ИП и есть диапозон реальных ИП который раздаёте на клиентские машины.
Все ИП выданы провайдером, а значит провайдерский роутер знает куда направлять запросы из мира к этим ИП.
Если ваш ИП не принадлежит подсети которую раздаёте, то правила форварда прописываются для них просто
/sbin/iptables -A FORWARD -j ACCEPT -o $ETH_INTERNET -i $ETH_LAN
/sbin/iptables -A FORWARD -j ACCEPT -i $ETH_INTERNET -o $ETH_LAN
вы просто обязаны разрешить все запросы к реальным ИП
$ETH_INTERNET - внешний интерфейс
$ETH_LAN - внутренний интерфейс с подсетью из реальных ИП
и ни каких натовЕсли ваш ИП из той-же подсети, что и клиентам раздаёте, то почитайте
http://www.opennet.me/base/net/linux_bridge.txt.html
Вообщем у меня есть шлюзeth0 - приватный ip
eth1 - реальный ipна реальный ip маршрутизируется из инета блок реальных ip адресов,
надо пронатить определьенные реальные ip адреса в приватные 1 в 1
то есть статический нат.пробую вот так
/sbin/iptables -t nat -A PREROUTING -d $REAL_IP -i eth1 -j DNAT --to-destination $PRIVATE_IP
/sbin/iptables -t nat -A POSTROUTING -s $PRIVATE_IP -o eth1 -j SNAT --to-source $REAL_IP
не работает...
что-то мне подсказывает, что надо алиасить эти ипшники :)
Мдеее...
заработало все как и писал, просто в IP ошибсямддееее....
надо увольняццооо...спасибо всем :(