LINUX.ORG.RU
ФорумAdmin

HP 2600 через нат


0

0

Собственно, есть принтер HP LJ 2600n в одном из оффисов. в оффисе 2 подсети 192.168.100.0 и 192.168.101.0 первая - 100мбит, для работников вторая - 1Гбит - для начальства и бухгалтерии. в первой стоит сетевой принтер (по эзернету подрублен) И тут встала необходимость подцепить к сети начальников нового бухгалтера-кассира, а посадили его далекот от принтеров другой сети (ну метров 20). И собственно встал вопрос - а можно ли подцепить её к сетевому принтеру, ибо стоит в 2х метрах от нее. Собственно я сделал нат. У принтера адрес 192.168.100.107 (статика). Гейтвэй прописан, маска подсети 255.255.0.0 Правила ната:

iptables -t nat -A POSTROUTING -s 192.168.101.0/255.255.255.0 --out-interface eth1 -j SNAT --to-source 192.168.100.1
iptables -t nat -A POSTROUTING -s 192.168.100.107/255.255.255.255 --out-interface eth2 -j SNAT --to-source 192.168.101.1
Но не рабоатет :( если я ставлю себе айпишник приинтера нужный комп пингуется на Ять.

правила IPtables

~ # iptables -L                                                                                                    12:02
Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:2211
ACCEPT     all  --  anywhere             anywhere
QUEUE      all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere

Chain FORWARD (policy DROP)
target     prot opt source               destination
DROP       all  --  anywhere             youtube.com
DROP       all  --  anywhere             youtube.com
DROP       all  --  anywhere             moikrug.ru
DROP       all  --  anywhere             212.119.216.3
DROP       all  --  anywhere             212.119.216.6
DROP       all  --  anywhere             212.119.216.5
DROP       all  --  anywhere             212.119.216.4
DROP       all  --  anywhere             vkontakte.ru
DROP       all  --  anywhere             vkontakte.ru
DROP       all  --  anywhere             vkontakte.ru
DROP       all  --  anywhere             vkontakte.ru
DROP       all  --  anywhere             vkontakte.ru
DROP       all  --  anywhere             vkontakte.ru
DROP       all  --  anywhere             vkontakte.ru
DROP       all  --  anywhere             vkontakte.ru
DROP       all  --  anywhere             srv130-227.vkontakte.ru
DROP       all  --  anywhere             srv129-227.vkontakte.ru
DROP       all  --  anywhere             vkontakte.ru
DROP       all  --  anywhere             vkontakte.ru
DROP       all  --  anywhere             vkontakte.ru
DROP       all  --  anywhere             vkontakte.ru
DROP       all  --  anywhere             srv130-226.vkontakte.ru
DROP       all  --  anywhere             srv129-226.vkontakte.ru
DROP       all  --  anywhere             srv5-226.vkontakte.ru
DROP       all  --  anywhere             srv4-226.vkontakte.ru
DROP       all  --  anywhere             vkontakte.ru
QUEUE      all  --  anywhere             anywhere

Chain OUTPUT (policy DROP)
target     prot opt source               destination
DROP       all  --  anywhere             youtube.com
DROP       all  --  anywhere             youtube.com
DROP       all  --  anywhere             moikrug.ru
DROP       all  --  anywhere             212.119.216.6
DROP       all  --  anywhere             212.119.216.5
DROP       all  --  anywhere             212.119.216.4
DROP       all  --  anywhere             212.119.216.3
DROP       all  --  anywhere             vkontakte.ru
DROP       all  --  anywhere             vkontakte.ru
DROP       all  --  anywhere             vkontakte.ru
DROP       all  --  anywhere             vkontakte.ru
DROP       all  --  anywhere             vkontakte.ru
DROP       all  --  anywhere             vkontakte.ru
DROP       all  --  anywhere             vkontakte.ru
DROP       all  --  anywhere             srv130-227.vkontakte.ru
DROP       all  --  anywhere             srv129-227.vkontakte.ru
DROP       all  --  anywhere             vkontakte.ru
DROP       all  --  anywhere             vkontakte.ru
DROP       all  --  anywhere             vkontakte.ru
DROP       all  --  anywhere             vkontakte.ru
DROP       all  --  anywhere             srv130-226.vkontakte.ru
DROP       all  --  anywhere             srv129-226.vkontakte.ru
DROP       all  --  anywhere             srv5-226.vkontakte.ru
DROP       all  --  anywhere             srv4-226.vkontakte.ru
DROP       all  --  anywhere             vkontakte.ru
DROP       all  --  anywhere             vkontakte.ru
ACCEPT     tcp  --  anywhere             anywhere            tcp spt:2211
ACCEPT     all  --  anywhere             anywhere
QUEUE      all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere

Chain fail2ban-ssh (0 references)
target     prot opt source               destination
RETURN     all  --  anywhere             anywhere

А вот натов правила

~ # iptables -t nat -L                                                                                             12:06
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
SNAT       all  --  192.168.21.0/24      anywhere            to:192.168.100.1
SNAT       all  --  192.168.101.0/24     anywhere            to:192.168.100.1
SNAT       all  --  192.168.100.0/24     anywhere            to:192.168.101.1
SNAT       all  --  anywhere             anywhere            to:тут_внешний_IP =)

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Принтер работает на 9100 порту. Может поопробовать проброс порта сделать?

PPS дома стоит HP 1120n - я на нем из впн без проблем печатаю, причем у меня стоит только правило ната из впн в домашнюю локалку. Протокол работы такой же. ЧЯДНТ???


Ответ на: комментарий от rave

потом попробую фаер отрубить. чтоб проверить.а то форвардинг запрещен, но порты я открывал - ноу телнет :(

rave
() автор топика

>iptables -t nat -A POSTROUTING -s 192.168.101.0/255.255.255.0 --out-interface eth1 -j SNAT --to-source 192.168.100.1
>iptables -t nat -A POSTROUTING -s 192.168.100.107/255.255.255.255 --out-interface eth2 -j SNAT --to-source 192.168.101.1


Зачем вы делаете второй SNAT? Что того, чтобы работал NAT, вам нужно лишь первое правило. В таком случае, принтер будет думать, что маршрутизатор обращается к нему с просьбой "напечатай мне листочек", а маршрутизатор умный: будет трафик от принтера возвращать в 192.168.101.0/24. И ещё. Если у вас нет WINS (или какие-то там его аналоги, не знаю), обращайтесь к принтеру по ip: маршрутизатор не пропустит широковещительный резолвинг netbios-name.

Дальше этих двух правил не читал.

markevichus ★★★
()

Как вариант: можно подрубить принтер к маршрутизатору(cups) и расшарить на нём по smb(samba), если ваша политика это позволяет. По-моему, это самый рациональный вариант: он работает со сколь угодно большим количеством принтеров пофиг в каких сегментах сети (т.е. получится один такой сервер печати).

markevichus ★★★
()
Ответ на: комментарий от markevichus

но это откровенный костыль с самбой. PS решил таки - разрешил нужному клиенту фовардинг (я просто айпитэйблы еще не полностью изучил, путаюсь местами) и полпилил настройки принтера. Проблема решена

rave
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.