Маршрутизация и NAT для отдельных адресов

######################### REAL IPS ##########################################
/sbin/iptables -t nat -A POSTROUTING  -s REAL_IPS_SUBNET/24 -j  ACCEPT
/sbin/iptables -t nat -A POSTROUTING  -d REAL_IPS_SUBNET/24 -j  ACCEPT
######################### NAT ###############################################
iptables -t nat -A POSTROUTING -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source IP_ИНТЕРФЕЙСА_КОТОРЫЙ_СМОТРИТ_В_ИНЕТ

как то так

Вы видимо, не внимательно прочитали вопрос. Мне не нужно NAT'ить подключения ко всем адресам за пределами подсети. По адресам 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12 мне нужно чтобы NAT не работал, но работала маршрутизация на тот же интерфейс, через который осуществляется NAT для всех остальных адресов. С NAT'ом проблемы нет: с описанными в первом посте настройками он работает по внешним адресам, а по внутренним - нет, как и положено. Но вот маршрутиазция тоже не работает, и у меня никак не получается её настроить.

В голову закрадываются мысли: не сделано ли специально в линуксе невозможность маршрутизации между адресами приватного и публичного диапазонов?

Включить маршрутизацию: echo 1 > /proc/sys/net/ipv4/ip_forward Проверить правила таблицы FORWARD, т.к. маршрутизация именно через неё идёт.

Я делаю попроще:

-A POSTROUTING -d 10.0.0.0/8 -o eth0 -j ACCEPT
-A POSTROUTING -d 172.16.0.0/12 -o eth0 -j ACCEPT
-A POSTROUTING -d 192.168.0.0/16 -o eth0 -j ACCEPT
-A POSTROUTING -o eth0 -j SNAT --to-source <внешний_IP_адрес>

/proc/sys/net/ipv4/ip_forward

С этим всё нормально. Без IP-форвардинга даже NAT не работает. В цепочке FORWARD таблицы filter - лишь одно правило:

-P FORWARD ACCEPT

Сделал точно так же. Ничего не изменилось. NAT работает, маршрутизация - нет.

На всякий случай: Это ведь правила таблицы nat?

на всякий случай: шлюз на остальных компах какой прописал?

По идее всё должно работать
Пакет проходит PREROUTING - FORWARD - ROSTROUTING и наоборот.

Еще же на компах пропиши маршруты.
Если они думают что пакет идет в локалку, то пакеты через шлюз не будут засылать.

В качестве шлюза записан IP-адрес сервера внутренней подсети. То есть 192.168.115.1 в моём случае. Я думаю, что если бы он был неправильным, NAT бы тоже не работал.

Есть ли способ отследить прохождение пакета? Чтобы определить, почему он не маршрутизируется.

давай еще раз:

какие ип на твоем шлюзе.
какая подсетка провайдера
какие ип и маршруты на остальных твоих компах.

На компах подсеть только 192.168.115.0/24, а я посылаю на адреса, например 192.168.100.200. На такой адрес он посылается на роутер, в трассировке есть только первая строка - ответ моего сервера. А дальше него пакет не идёт. Со стороны внешнего интерфейса наблюдается точно такая же картина: пакет доходит до моего сервера, а внутрь не попадает.

В простейшем случае можешь прописать SNAT для каждого твоего компа с соответствующим ip.

На шлюзе два IP: 192.168.115.1/24 и подсетка реальных адресов (адеса изменены, но суть та же): 88.88.88.90/30 Дефолтным (и единственным шлюзом) является 88.88.88.89. Локальными адресами являются 192.168.0.0/16, 10.0.0.0/8, 172.16.0.0/12 и 88.88.88.0/22. По этим адресам трафик с моих внутренних адресов должен маршрутизироваться. А на все остальные адреса - применяться NAT.

На остальных компах: IP: 192.168.115.2/255.255.255.0 gw 192.168.115.1, 192.168.115.3/255.255.255.0 gw 192.168.115.1 И так далее. Маршрутов явно не задавал, так как всё должно идти на 192.168.115.1 (кроме адресов данной подсети естественно).

И что ты хочешь если у тебя на компах внутренние ип?

Если по уму у тебя должно быть так:

на шлюзе
локальный интерфейс: ип например 192.168.1.1
второй интерфейс: ип провайдера 192.168.100.123

на клиенте
ип провайдера 192.168.100.124
ip route add 192.168.1.1 dev eth0
ip route add 192.168.100.0/24 via 192.168.1.1

сам так не делал. могу ошибиться.

Или делай для каждого внутреннего ип свой SNAT на шлюзе

или 192.168.115.1/24 это сетка провайдера?

И что ты хочешь если у тебя на компах внутренние ип?

Я хочу, чтобы при отправке пакетов изнутри моей подсети на на адреса из заданных диапазонов, NAT не применялся, а работала маршрутизация. А при отправке на все остальные адреса, работал NAT. Да, адреса внутренние, но поскольку речь идёт о маршрутизации внутри локалки провайдера, ничего неправильного тут нет. Для внешних, интернетовских адресов применяется NAT.

Или делай для каждого внутреннего ип свой SNAT на шлюзе

Как вы предлагаете? Вот так?

iptables -t nat -A POSTROUTING -s 192.168.115.2 -o eth0 -j SNAT --to-source 88.88.88.90
iptables -t nat -A POSTROUTING -s 192.168.115.3 -o eth0 -j SNAT --to-source 88.88.88.90
...
iptables -t nat -A POSTROUTING -s 192.168.115.254 -o eth0 -j SNAT --to-source 88.88.88.90

Зачем так делать, если можно записать одно правило вместо 254?

Да, 192.168.115.0/24 - это подсетка локальных адресов, выделенная провайдером и смаршрутизированная на адрес 88.88.88.90 моего шлюза.

Нет. Я устал. Пойду отдохну))

Я просто сначала не понял топологию.
В принципе вроде всё должно работать.

Попробуй поснифить на шлюзе пакеты с помощью tcpdump или tshark.
Достаточно icmp пакеты с отного ип посмотреть и попинговать с него. Что на локальный интерфейс приходит, что уходит с внешнего, и наоборот.

Внутри иптпблес можно делать правило -j LOG чтобы проследить пакет.

А на 192.168.115.1 один интерфейс? Т.е. 192.168.115.1 и 88.88.88.90 оба на eth0 или на разных интерфейсах?

88.88.88.90 - на eth0, 192.168.115.1 - на eth1.

В общем, спасибо всем кто пытался помочь. В следствии исследования прохождения icmp-пакетов через интерфейс eth0 tcpdump'ом выяснилось, что исходящие пинги на локальные ресурсы провайдеры через интерфейс проходят. Когда попросил потрассировать до 192.168.115.2 другого абонента этого провайдера, выяснилось, что на 192.168.115.2 эти icmp-пакеты приходят, и 192.168.115.2 даже отправляет на них ответ, но ответы не доходят. Предположительно: косяк провайдера, не настроившего фильтрацию по IP и MAC адресам для выделенной подсети на коммутаторе, к которому подключён eth0. Завтра буду звонить, о решении проблемы обязательно сообщу.

Проблема решилась. Проблема была у провайдера, не настроившего привязку по MAC на коммутаторе должным образом, из-за чего зарезались исходящие пакеты из подсети 192.168.115.0/24. Всем спасибо за помощь.