Подмена внешнего адреса локальным

snat debian

0

3

Всем привет, понимаю что тема поднималась не раз, и по писку я много чего нашел, но все же ничего найденного мне не помогло

внутр инт br0 10.90.90.1 внеш инт eth1 X.X.X.X

$IPT -P INPUT DROP $IPT -P FORWARD ACCEPT (сделаем временно ACCEPT) $IPT -P OUTPUT ACCEPT

Написал следующие правила $IPT -t nat -A PREROUTING -d $INET_ADDR -p tcp --dport $NEXTCLOUD_HTTP_DNAT -j DNAT --to-destination $APPLICATIONS_IP:$NEXTCLOUD_HTTP_PORT $IPT -t nat -A POSTROUTING -s $LAN_NTWK -d $APPLICATIONS -p tcp --dport $NEXTCLOUD_HTTP_PORT -j SNAT --to-source $ LAN_ADDR

но все как-то странно, правило $IPT -t nat -A POSTROUTING -s $LAN_NTWK -d $APPLICATIONS -p tcp --dport $NEXTCLOUD_HTTP_PORT -j SNAT --to-source $LAN_ADDR работает только в случае если на шлюзе ($LAN_ADDR) запущен tcpdump, если он выключен то и трафик не ходит, как такое возможно? tcpdump -vni br0 host 10.90.90.102 and port 8480

Ссылка

←	IredMial + AD на Centos 6.8

Имена интерфейсов в Centos 7.1511 и 7.1611

→

Потому что tcpdump без опции -p включает promiscious режим, в котором ядром ловятся все пакеты, а не только приходящие на твой адрес. Это виртуальная машина? Схему сети с адресами покажи, а также тип сети в виртуалке, если это оно.

Deleted
(12.01.17 18:48:19 MSK)

Ответ на: комментарий от Deleted 12.01.17 18:48:19 MSK

Да все машины виртуальные vmware: шлюз 10.90.90.1 сервер приложений, куда пробрасывается: 10.90.90.4 не очень понял, что значит тип сети. promiscious режим сейчас включил, ситуация та же.

rdiamond
(12.01.17 19:27:08 MSK) автор топика

Ответ на: комментарий от rdiamond 12.01.17 19:27:08 MSK

соответственно на шлюз прокинуто две сети интернет, и локалка

rdiamond
(12.01.17 19:31:46 MSK) автор топика

Ответ на: комментарий от rdiamond 12.01.17 19:31:46 MSK

кстати promiscious режим на сетевухе которая смотрит в локалку был включен давно, для корректной работы openvpn bridge auto br0 iface br0 inet static bridge_ports eth0 bridge_fd 9 ## from the libvirt docs (forward delay time) bridge_hello 2 ## from the libvirt docs (hello time) bridge_maxage 12 ## from the libvirt docs (maximum message age) bridge_stp off ## from the libvirt docs (spanning tree protocol) address 10.90.90.1 netmask 255.255.255.0 network 10.90.90.0 broadcast 10.90.90.255 dns-nameservers 10.90.90.1 post-up /sbin/ip link set tap0 up post-up /usr/sbin/brctl addif br0 tap0 post-up /sbin/ip link set eth1 up post-up /usr/sbin/brctl addif br0 eth1 post-down /usr/sbin/brctl delbr br0 post-down /usr/sbin/openvpn --rmtun --dev tap0 post-down /sbin/ip link set eth1 down

rdiamond
(12.01.17 19:43:20 MSK) автор топика

Ссылка

Ответ на: комментарий от rdiamond 12.01.17 19:27:08 MSK

Нарисуй схему своей сети с указанием, куда там приходит интернет, где расположены все эти адреса типа $NEXTCLOUD_HTTP_DNAT, $APPLICATIONS и 10.90.90.102, и как с этим связан сервер виртуализации.

Deleted
(12.01.17 20:03:08 MSK)

Ответ на: комментарий от Deleted 12.01.17 20:03:08 MSK

Если я правильно понимаю up ip link set $IFACE promisc on down ip link set $IFACE promisc off

решит проблему

rdiamond
(12.01.17 20:05:24 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	IredMial + AD на Centos 6.8

Admin

Имена интерфейсов в Centos 7.1511 и 7.1611

→

Похожие темы