[nat][iptables][routing] Интересная задачка

0

1

Есть сервер с линуксом на борту. С eth0 10.34.34.2/30 смотрящим во внешнюю (будем приближенно называть ее «корпоративной») сеть и интернет; и eth1 10.34.8.1/25 смотрящим во внутреннюю сеть. На роутере «корпоративной» сети прописано, что моя сеть 10.34.8.0/25 доступна через 10.34.34.2. Админ «корпоративной» сети предлагает настроить у себя нат (для выпускания всего этого дела в инет) только для 10.34.8.0/25.

Натить надо только то, что выходит в инет. По остальной части «корпоративной» сети пакеты должны путешествовать с «родными» адресами.

Вопрос: как мне получить доступ к сети интернет с самого сервера с линуксом? Ведь пакеты, уходящие на корпоративный роутер с адреса 10.34.34.2 натиться в инет не будут. То есть, например, как-то «снатить» уходящие с самого сервера пакеты чтобы они уходили во вне с адресом отправителя из подсети 10.34.8.0/25 ?

ЗюЫю Есть и другое решение: нат у админа «корп.» сети настраивается для адреса 10.34.34.2 и я у себя сам начу при помощи

iptables -t nat -A PREROUTING -d $some_external_corporate_network -j MARK --set-xmark 0x1
iptables -t nat -A PREROUTING -d $yet_another_external_corporate_network -j MARK --set-xmark 0x1
iptables -t nat -A POSTROUTING -o eth0 -s 10.34.8.0/25 -m mark ! --mark 0x1 -j SNAT --to-source 10.34.34.2

только то, что не имеет отношения к «корпоративной» сети, то есть то, что идет в инет.

Ссылка

←	1с и Линукс, вопрос для тех, кто делал

zabbix не работает обнаружение

→

рисуйте ибо епонятно

~~guilder~~ ★
(10.02.11 23:56:08 MSK)

Ответ на: комментарий от guilder 10.02.11 23:56:08 MSK

Вопрос имеет отношение только к системе с 2 интерфейсами и устройству NATа линукса. Все остальные дела за пределами данного линуксошлюза интересовать не должны. Достаточно знать, что 1) где-то дальше по пути следования пакеты идущие с адресов 10.34.8.0/25 в инет натятся 2) подсеть 10.34.8.0/25 смаршрутизирована через 10.34.34.2

nixtrian ★
(11.02.11 00:03:42 MSK) автор топика

Ответ на: комментарий от nixtrian 11.02.11 00:03:42 MSK

Что-то как-то запутанно немного.
Попробую воспроизвести условия задачи своими словами:

На Вашем роутере два сетевых интерфейса:
eth0:10.34.34.2/30 - в корпоративную сеть
eth1:10.34.8.1/25 - в свою сеть.

При этом «провайдер» корпоративной сети знает про сеть 10.34.8.0/25 и умеет роутить пакеты на неё через 10.34.34.2/30 (eth0 на роутере)

Корпоративная сеть описывается как 10.0.0.0/8

Задача:
1) Необходимо, чтобы пакеты, идущие транзитом, проходили без изменений.
2) Необходимо, чтобы пакеты с роутера, идущие на корпоративную сеть (10.0.0.0/8), имели source address как 10.34.34.2
3) Необходимо, чтобы пакеты с роутера, идущие на любые адреса не из корпоративной сети, имели source address равный 10.34.8.1

Я правильно понял?

Slavaz ★★★★★
(11.02.11 00:22:02 MSK)

Ответ на: комментарий от Slavaz 11.02.11 00:22:02 MSK

да. Все верно.

nixtrian ★
(11.02.11 00:52:14 MSK) автор топика

Ссылка

Ответ на: комментарий от Slavaz 11.02.11 00:22:02 MSK

Собственно наиболее коротко мой вопрос может звучать так:

как подменить адрес исходящего пакета? ведь таблица nat с ее цепочкой POSTROUTING в которой есть цель SNAT действует только на транзитные пакеты.

nixtrian ★
(11.02.11 00:58:39 MSK) автор топика

Ответ на: комментарий от nixtrian 11.02.11 00:58:39 MSK

Есть ещё цепочак OUTPUT в таблице nat, в ней и подменяйте

Slavaz ★★★★★
(11.02.11 10:36:33 MSK)

Ответ на: комментарий от Slavaz 11.02.11 10:36:33 MSK

да. спасибо.

nixtrian ★
(11.02.11 11:29:31 MSK) автор топика

Ссылка

Ответ на: комментарий от Slavaz 11.02.11 10:36:33 MSK

Хотя минуточку.. ман гласит, что target SNAT is only valid in the nat table, in the POSTROUTING chain.

да и dmesg говорит

x_tables: ip_tables: SNAT target: used from hooks OUTPUT, but only usable from POSTROUTING

nixtrian ★
(11.02.11 11:47:56 MSK) автор топика

Ответ на: комментарий от nixtrian 11.02.11 11:47:56 MSK

nixtrian> Хотя минуточку.. ман гласит, что target SNAT is only valid in the nat table, in the POSTROUTING chain.

              nat:
                  This table is consulted when a packet  that  creates  a  new
                  connection  is encountered.  It consists of three built-ins:
                  PREROUTING (for altering packets as soon as they  come  in),
                  OUTPUT  (for altering locally-generated packets before rout‐
                  ing), and POSTROUTING (for  altering  packets  as  they  are
                  about to go out).

~~sdio~~ ★★★★★
(11.02.11 20:52:33 MSK)

Ответ на: комментарий от sdio 11.02.11 20:52:33 MSK

Спасибо. Насколько я правильно понял (хотя отнюдь не сразу), суть реплая в том, что POSTROUTING относится не только к транзитным пакетам. Так что можно в моем случае успешно использовать правило

iptables -t nat -A POSTROUTING -o eth0 -s 10.34.34.2 -j SNAT --to-source 10.34.8.1

nixtrian ★
(13.02.11 01:30:40 MSK) автор топика

Ответ на: комментарий от nixtrian 13.02.11 01:30:40 MSK

есть еще предположение, что можно решить это при помощи iproute2.

ip route add default dev eth0 src 10.34.8.1

Как думаете, а?

nixtrian ★
(11.03.11 23:56:51 MSK) автор топика

Ответ на: комментарий от nixtrian 11.03.11 23:56:51 MSK

да. конечно же via в том числе

ip route add default via 10.34.34.1 dev eth0 src 10.34.8.1

P.S. Проверил. Таким образом оно действительно работает.

nixtrian ★
(12.03.11 11:37:03 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	1с и Линукс, вопрос для тех, кто делал

Admin

zabbix не работает обнаружение

→

Похожие темы