forum.opennet.ru - "Разборки с NAT iptables (local ip наружу)" (3)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Разборки с NAT iptables (local ip наружу)"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Разборки с NAT iptables (local ip наружу)"
Сообщение от Stalker on 09-Окт-02, 11:47 (MSK)
Имеем локальную сетку 192.168.0.0, firewall на Slackware kernel 2.4.18(eth0 -192.168.0.1), к прову подключаемся через выделенку на нем (ppp0 - 10.10.0.1). На firewall'e поднят маскарад для user'ов на iptables. Как выпустить наружу машину 192.168.0.2(mail,web),например с 10.10.10.1 из выделенного провом блока ip 10.10.10.0/255.255.255.248 ?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

RE: Разборки с NAT iptables (local ip наружу), Stalker, 12:03 , 09-Окт-02, (1)
- RE: Разборки с NAT iptables (local ip наружу), alice, 16:45 , 09-Окт-02, (2)
RE: Разборки с NAT iptables (local ip наружу), trin, 17:01 , 09-Окт-02, (3)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: Разборки с NAT iptables (local ip наружу)"

Сообщение от Stalker on 09-Окт-02, 12:03  (MSK)

К примеру iptables -t nat -A PREROUTING -p tcp -d 10.10.10.1 --dport 80 -j DNAT --to-destination 192.168.0.2 не помогает(хотя бы для web). В чем грабли?

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: Разборки с NAT iptables (local ip наружу)"

Сообщение от alice on 09-Окт-02, 16:45  (MSK)

>К примеру iptables -t nat -A PREROUTING -p tcp -d 10.10.10.1 --dport
>80 -j DNAT --to-destination 192.168.0.2 не помогает(хотя бы для web). В
>чем грабли?
Хмм, вообще-то само правило прописано корректно, только что тестировала аналогичное -- работает. НО:
1. проверь, есть ли маршрутизация из мира на 10.10.10.1
2. имей в виду, что на PREROUTING путешествие пакета по файрволлу не заканчивается, впереди у него еще FORWARD и POSTROUTING. внимательно проверь правила этих цепочек -- может быть пакеты отбрасываются именно там (например запрещен форвард извне на внутреннюю сеть, а если у тебя по умолчанию политика DROP и отдельной разрешающей такой форвард записи нет -- то в этом проблема твоя и кроется). может быть некорректно описан NAT в POSTROUTING -- твои пакеты могут попадать под двойной NAT.
Почитай лучший в мире учебник по iptables -- http://www.netfilter.org/documentation/tutorials/blueflux/iptables-tutorial.html -- и все у тебя будет ок.

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: Разборки с NAT iptables (local ip наружу)"

Сообщение от trin on 09-Окт-02, 17:01  (MSK)

>Имеем локальную сетку 192.168.0.0, firewall на Slackware kernel 2.4.18(eth0 -192.168.0.1), к прову
>подключаемся через выделенку на нем (ppp0 - 10.10.0.1). На firewall'e поднят
>маскарад для user'ов на iptables. Как выпустить наружу машину 192.168.0.2(mail,web),например с
>10.10.10.1 из выделенного провом блока ip 10.10.10.0/255.255.255.248 ?
Плюс к DNAT-правилу надо еще проверить, не дропаются ли пакеты в цепи FORWARD позже - потому как их происхождение - внешний интерфейс, а назначение - внутренний адрес. В большинстве примеров настройки iptables-файрволлов такое рассматривается как признак ip-spoofing и отдельно блокируется. Надо явно разрешить форвардить этот трафик до проверки на спуфинг.

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "RE: Разборки с NAT iptables (local ip наружу)"
Сообщение от Stalker on 09-Окт-02, 12:03 (MSK)
К примеру iptables -t nat -A PREROUTING -p tcp -d 10.10.10.1 --dport 80 -j DNAT --to-destination 192.168.0.2 не помогает(хотя бы для web). В чем грабли?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "RE: Разборки с NAT iptables (local ip наружу)"
	Сообщение от alice on 09-Окт-02, 16:45 (MSK)
	>К примеру iptables -t nat -A PREROUTING -p tcp -d 10.10.10.1 --dport >80 -j DNAT --to-destination 192.168.0.2 не помогает(хотя бы для web). В >чем грабли? Хмм, вообще-то само правило прописано корректно, только что тестировала аналогичное -- работает. НО: 1. проверь, есть ли маршрутизация из мира на 10.10.10.1 2. имей в виду, что на PREROUTING путешествие пакета по файрволлу не заканчивается, впереди у него еще FORWARD и POSTROUTING. внимательно проверь правила этих цепочек -- может быть пакеты отбрасываются именно там (например запрещен форвард извне на внутреннюю сеть, а если у тебя по умолчанию политика DROP и отдельной разрешающей такой форвард записи нет -- то в этом проблема твоя и кроется). может быть некорректно описан NAT в POSTROUTING -- твои пакеты могут попадать под двойной NAT. Почитай лучший в мире учебник по iptables -- http://www.netfilter.org/documentation/tutorials/blueflux/iptables-tutorial.html -- и все у тебя будет ок.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх

3. "RE: Разборки с NAT iptables (local ip наружу)"
Сообщение от trin on 09-Окт-02, 17:01 (MSK)
>Имеем локальную сетку 192.168.0.0, firewall на Slackware kernel 2.4.18(eth0 -192.168.0.1), к прову >подключаемся через выделенку на нем (ppp0 - 10.10.0.1). На firewall'e поднят >маскарад для user'ов на iptables. Как выпустить наружу машину 192.168.0.2(mail,web),например с >10.10.10.1 из выделенного провом блока ip 10.10.10.0/255.255.255.248 ? Плюс к DNAT-правилу надо еще проверить, не дропаются ли пакеты в цепи FORWARD позже - потому как их происхождение - внешний интерфейс, а назначение - внутренний адрес. В большинстве примеров настройки iptables-файрволлов такое рассматривается как признак ip-spoofing и отдельно блокируется. Надо явно разрешить форвардить этот трафик до проверки на спуфинг.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх