OpenForum RSS: SNAT в ip не принадлежаший узлу https://www.opennet.ru/openforum/vsluhforumID10/3679.html добрый день,<br><br>провайдер выдал сеть /28 , те у провайдера шлюзом является 192.168.10.1 у меня на файрволе стоит 192.168.10.2, хочу часть клиентов выпускать под ip адресами отличными от адреса шлюза.<br><br>делаю,<br><br>iptables -t nat -A POSTROUTING -o $OUTSIDE -s $LOCAL/NET -j SNAT --to-sources 192.168.10.3<br><br>и не работает, я вижу как пакеты со шлюза уходят с ip 192.168.10.3, но обратно они вернуться не могут так как циска провайдера не знает мак адреса для ip 192.168.10.3, я вижу как циска их запрашивает, но файрвол на эти арпы не отвечает.<br><br>Есть несколько решений этой проблемы.<br><br>1) Поднять адрес 192.168.10.3 параллельно с 192.168.10.2<br>2) прописать на циске провайдера статическую arp запись для ip 192.168.10.3<br>3) (Не пробовал) Включить прокси arp<br><br>Но все три способа меня не утсраивают, так как <br>1) Ну не красиво это как-то<br>2) Не каждый провайдер это будет далать<br>3) как-то сложно это все, прописывать на обоих интерфейсах ip, мутить с роутингом.<br><br>Есть ли еще способ заставить сервер отвечать на arp кото SNAT в ip не принадлежаший узлу (Andrey Mitrofanov) https://www.opennet.ru/openforum/vsluhforumID10/3679.html#7 Wed, 15 Oct 2008 07:50:06 GMT &gt;&gt;#NAT RULES------------------------------------------------------------- <br>&gt;&gt; $IPTAB -t nat -I POSTROUTING -o $INET_IF -j MASQUERADE <br>&gt;Это просто форвардинг между сетями сделан, ни о каком нате и речи <br>&gt;не идет.<br><br>Милочка, Вы сначала со своим http://www.opennet.ru/openforum/vsluhforumID1/82395.html (не?)NAT-ом разберитесь, потом нам рассказывать будете... :-/<br><br>&gt;вот в этих правилах очисти всю таблицу нат и все равно все будет работать :) <br><br>Уже. Все. Побежали.<br> SNAT в ip не принадлежаший узлу (virtuoz) https://www.opennet.ru/openforum/vsluhforumID10/3679.html#6 Wed, 15 Oct 2008 04:56:06 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt; $IPTAB -A FORWARD -o $LAN_IF -i $INET_IF -m state --state ESTABLISHED <br>&gt;-j ACCEPT <br>&gt; $IPTAB -A FORWARD -o $LAN_IF -i $INET_IF -m state --state RELATED <br>&gt;-j ACCEPT <br>&gt;<br>&gt;<br>&gt;#NAT RULES------------------------------------------------------------- <br>&gt;<br>&gt; $IPTAB -t nat -I POSTROUTING -o $INET_IF -j MASQUERADE <br><br>Это просто форвардинг между сетями сделан, ни о каком нате и речи не идет. вот в этих правилах очисти всю таблицу нат и все равно все будет работать :)<br><br> SNAT в ip не принадлежаший узлу (Влад) https://www.opennet.ru/openforum/vsluhforumID10/3679.html#5 Sat, 12 Jul 2008 14:40:07 GMT Спасибо!! <br>Я последовал вашему примеру и вот такой скрипт действительно все маскирует <br>tcpdump пустой. Работает как SNAT так и MASQUERADE.<br><br>#!/bin/sh<br> IPTAB=/usr/sbin/iptables<br>#LAN CONFIGURATION ------------------------------------<br><br> LAN="192.168.1.0/24"<br> LAN_IF="eth1"<br><br>#INET CONFIGURATION ------------------------------------<br><br><br> INET_IF="eth2"<br><br><br># SCRIPT BODY ------------------------------------<br><br>#SETTING DEFAULT POLICY ---------------------------<br><br> $IPTAB -F<br> $IPTAB -X<br><br> $IPTAB -F INPUT<br> $IPTAB -F OUTPUT<br> $IPTAB -F FORWARD<br><br> $IPTAB -t nat -F<br> $IPTAB -t nat -X<br> $IPTAB -t mangle -F<br> $IPTAB -t mangle -X<br><br>#SET DEFAULT POLICY<br><br> $IPTAB -P FORWARD DROP<br> $IPTAB -P OUTPUT ACCEPT<br> $IPTAB -P INPUT ACCEPT<br><br>#FORWARD RULES --------------------------------------<br><br> $IPTAB -A FORWARD -i $LAN_IF -o $INET_IF -m state --state NEW -j ACCEPT<br> $IPTAB -A FORWARD -i $LAN_IF -o $INET_IF -m state --state ESTABLISHED -j ACCEPT<br> $IPTAB -A FORWARD -i $LAN_IF -o $INET_IF -m state --state RELATED ещё про ip route, snat и всех-всех-всех :) (PavelR) https://www.opennet.ru/openforum/vsluhforumID10/3679.html#4 Sat, 24 May 2008 05:29:14 GMT Книга про Port-forwarding. Специально для opennet.ru и благодаря пользователю Phantom.<br><br>На форуме часто задается вопрос по поводу маршрутизации сети, подключенной к двум провайдерам.<br>На этот вопрос уже есть масса ответов, чтобы их найти достаточно воспользоваться поиском.<br><br>В частном случае проблема расширяется тем, что нужно осуществлять проброс соединений к сервисам, расположенным в локальной сети.<br>В обычной ситуации это делается с помощью DNAT, а в случае нескольких провайдеров снова возникает проблема - ответ отправляется в соответствии с таблицей маршрутизации, а не в зависимости от того, по какому каналу пришел запрос. <br><br>Проблема усугубляется тем, что обратное преобразование адресов выполняется уже после принятия решения о маршрутизации, <br>т.е. примерно в районе цепочки POSTROUTING, но скрытно от пользователя.<br><br>Решить эту нерешаемую проблему поможет модуль CONNMARK, который позволяет маркировать каждое проходящее через маршрутизатор соединение, и маршрутизация ответных пакетов в зависимости от ещё про ip route, snat и всех-всех-всех :) (Andrey Mitrofanov) https://www.opennet.ru/openforum/vsluhforumID10/3679.html#3 Thu, 20 Mar 2008 21:38:39 GMT &gt;&gt;http://www.netfilter.org/documentation/HOWTO/NAT-HOWTO-9.html <br><br># ip address add 1.2.3.99 dev eth0<br>Посмотрел, и правда - эта команда делает ровно то же, что ifcobfig alias.<br><br>&gt;так я в пункте 1 про это решение написал, не нравится, <br><br>А вот ещё "вариант" --<br># /usr/sbin/farpd -i eth0 RE.AL.AD.DR<br>&lt;http://opennet.ru/base/net/rem_tunnel.txt.html<br><br>Кстати, постановка ""провайдера шлюзом является 192.168.10.1 у меня на файрволе стоит 192.168.10.2, хочу часть клиентов выпускать под ip адресами отличными от адреса шлюза."" с "некрасивым" поднятием alias-а (или и с farpd тоже прокатит?..) на исходящем интрфейсе сводится к "Стаданию о `двух провайлеров`", исполняемому в форуме регулярно, два раза в неделю на все голоса...<br><br>..........Продолжаем чтение глав из книги "За двумя провайдерами или..."<br><br>*** http://opennet.ru/openforum/vsluhforumID1/79307.html#1<br>http:/tips/info/1179.shtml http:/openforum/vsluhforumID6/15319.html<br>Ж-)) http:/openforum/vsluhforumID12/5443.html#5<br>Как?! Сегодня про это ещё не спрашивал SNAT в ip не принадлежаший узлу (vgray) https://www.opennet.ru/openforum/vsluhforumID10/3679.html#2 Thu, 28 Feb 2008 07:45:44 GMT &gt;http://www.netfilter.org/documentation/HOWTO/NAT-HOWTO-9.html <br><br>так я в пункте 1 про это решение написал, не нравится,<br>у циски гораздо элегантнее это сделано.<br><br> SNAT в ip не принадлежаший узлу (Andrey Mitrofanov) https://www.opennet.ru/openforum/vsluhforumID10/3679.html#1 Thu, 28 Feb 2008 06:52:24 GMT http://www.netfilter.org/documentation/HOWTO/NAT-HOWTO-9.html<br>