IPTables - проброс портов и объединение сетей

0

1

Есть сервер CentOS 7 с 2-мя сетевыми интерфейсами:

192.178.0.10 (LAN1 192.178.0.0/24 Gateway1 192.178.0.1)
10.10.0.1 (LAN2 10.10.0.0/24)

В сети LAN2 есть устройство 10.10.0.20, к которому нужно получить доступ из LAN1 (на 80 порт). LAN1 и LAN2 отдельные сети, которые не должны видеть друг-друга, за исключением нескольких правил (что-то видно из LAN1 в LAN2 и наоборот).

Подскажите, как настроить следующее:

1. Сделать переадресацию, например с 192.178.0.10:18080 на 10.10.0.10:80. Т.е. набрав на любом компьютере из LAN1 192.178.0.10:18080 попасть на 10.10.0.10:80 На сколько я себе представляю, нужно: прописать в /etc/sysctl.conf строку net.ipv4.ip_forward = 1, сбросить в состояние «разрешено все» правила IPTables и прописать в IPTables правило переадресации, вот с этим - у меня проблемы.

2. Как организовать доступ из LAN1 в LAN2 напрямую, т.е. чтобы набрав в сети LAN1 (192.178.0.0/24) на любом из ПК адрес 10.10.0.10:80 сразу попасть на 10.10.0.10:80. На сколько мне представляется, для этого нужно прописать на роутере (Mikrotik RouterOS) правила... и настроить VLAN на роутере и сервере? Или можно обойтись без VLAN?

Ссылка

←	Как распределить сервера по контейнерам?

Господа, посоветуйте роутер

→

Ну почему мы не читаем...
https://yandex.by/yandsearch?clid=2186621&text=iptables dnat&rdrnd=48...

hbars ★★★★★
(21.04.17 20:11:52 MSK)

Ответ на: комментарий от hbars 21.04.17 20:11:52 MSK

Спасибо за наводку. До вашего сообщения я все думал как бы сделать обычный FORWARD, но перечитав доки понял, что без DNAT никак.

Barz
(22.04.17 01:13:02 MSK) автор топика

Ссылка

У тебя каша в голове. VLAN тут вообще не нужен. DNAT тоже.

На 192.178.0.1 делаешь маршрут в сеть 10.10.0.0/24 через 192.178.0.10. На самом 192.178.0.10 разрешаешь форвардинг.

Если для устройства 10.10.0.20 основным шлюзом не является 10.10.0.1, то пишешь на этом устройстве маршрут в сеть 192.178.0.0/24 через 10.10.0.1.

После этого на 192.178.0.10 средствами фаервола всё запрещаешь и разрешаешь адреса и порты, которые нужны.

anonymous
(22.04.17 05:03:58 MSK)

Ответ на: комментарий от anonymous 22.04.17 05:03:58 MSK

Задача 1 у ТС как раз требует dnat.

rumgot ★★★★★
(22.04.17 05:36:40 MSK)

Ответ на: комментарий от anonymous 22.04.17 05:03:58 MSK

Если для устройства 10.10.0.20 основным шлюзом не является 10.10.0.1, то пишешь на этом устройстве маршрут в сеть 192.178.0.0/24 через 10.10.0.1.

Маршрут к сети 192.178.0.0/24 лучше прописывать не на самом хосте 10.10.0.20, а на хосте, который является маршрутизатором по умолчанию для 10.10.0.20. Потому что при необходимости подключения еще одного хоста, которому также будет необходим маршрут к сети 192.178.0.0/24, опять придется прописывать маршрут и на новом хосте. Вообще обычные хосты не должны решать проблему маршрутизации, это дело и проблема маршрутизаторов.

rumgot ★★★★★
(22.04.17 05:46:19 MSK)
Последнее исправление: rumgot 22.04.17 05:50:19 MSK (всего исправлений: 1)

Ответ на: комментарий от rumgot 22.04.17 05:36:40 MSK

Формально да, задача тса в той формулировке которую он привел требует DNAT. Я предположил, что задачу формулировал сам ТС и отнёсся соответственно.

anonymous
(22.04.17 06:39:37 MSK)

Ссылка

Ответ на: комментарий от rumgot 22.04.17 05:46:19 MSK

У нас нет информации о наличии каких-то дополнительных хостов в сети 10.10.0.0/24. Там где был маршрутизатор, я предложил прописать на маршрутизаторе.

anonymous
(22.04.17 06:44:10 MSK)