Проброс IP

0

1

Есть две сети:
192.168.1.0/24
10.1.1.0/24

Нужно сделать так, чтобы система с адресом 192.168.1.62 была доступна по адресу 10.1.1.3
Грубо говоря, чтобы я с системы 10.1.1.2 делал «ping 10.1.1.3» и пинговалась бы 192.168.1.62

Пробовал разные правила, остановился на таком, не помогает:

iptables -t nat -A PREROUTING -d 10.1.1.3 -s 10.1.1.0/24 -j DNAT --to-destination 192.168.1.62

Подскажите правильное решение!

Ссылка

←	Глянуть конфиг Cisco Catalyst 2960

Автоматический svn update

→

Альяс для интерфейса

xpahos ★★★★★
(21.05.12 13:59:28 MSK)

Ответ на: комментарий от xpahos 21.05.12 13:59:28 MSK

eth0 - 192.168.1.131 eth1 - 10.1.1.1

iv
(21.05.12 14:05:58 MSK) автор топика

Ссылка

сети как подключены (тунельно)? за NAT'ом?

Jeckdigger
(21.05.12 14:37:11 MSK)

Ответ на: комментарий от Jeckdigger 21.05.12 14:37:11 MSK

Сети без всяких натов и туннелей. Комп, где iptables видит обе сети, он же выступает в качестве шлюза.

iv
(21.05.12 15:22:25 MSK) автор топика

Ссылка

ip forwarding + маршрут на втором хосте («192.168.1.62 находится за 10.1.1.2»)

zolden ★★★★★
(21.05.12 15:26:03 MSK)

Ссылка

Добавь SNAT. 192.168.1.62 не знает о 10.1.1.2.

winlook38 ★★
(21.05.12 15:31:42 MSK)

Ответ на: комментарий от winlook38 21.05.12 15:31:42 MSK

Это глань для примера.

winlook38 ★★
(21.05.12 15:34:27 MSK)

Ответ на: комментарий от winlook38 21.05.12 15:34:27 MSK

Действительно, пинги туда проходят, а обратно нет.
Второе правило сделал так:

iptables -t nat -A POSTROUTING -s 192.168.1.62 -j SNAT --to-source 10.1.1.3

Не работает. :( Что не так?

iv
(21.05.12 17:05:28 MSK) автор топика

Всем спасибо, вопрос решил!
В итоге на шлюзе надо было прописать:

iptables -t nat -A PREROUTING -d 10.1.1.3 -i eth1 -j DNAT --to-destination 192.168.1.62

Важно задать имя интерфейса, иначе не работает.
А на хосте 192.168.1.62 (винда) был прописан левый шлюз по умолчанию, добавили маршрут:

route add 10.1.1.0 mask 255.255.255.0 192.168.1.131

iv
(21.05.12 20:23:44 MSK) автор топика

Ответ на: комментарий от iv 21.05.12 17:05:28 MSK

Наверное, -s 10.1.1.0/24.

winlook38 ★★
(21.05.12 21:40:38 MSK)

Ссылка

Ответ на: комментарий от iv 21.05.12 20:23:44 MSK

В таком случае у тебя какая-то каша получается. Ты с 10.1.1.2 пингуешь 10.1.1.3, он подменяет адрес назначения на 192.168.1.62 (адрес источника остается 10.1.1.2). Когда пакет достигает 192.168.1.62, он не занет кому ответить, т.к. не знает ничего о сети 10.1.1.2/24. В данном случае выручил шлюз по умолчанию, куда и отсылается пакет (можно было так же прописать роут на подсеть 10.1.1.0/24) и 10.1.1.3 его нормально разруливает. Как такой пакет, с адресом источника 192.168.1.62, обработает хост 10.1.1.2 я что-то даже не представляю.
Может быть у тебя осталось активным правило

iptables -t nat -A POSTROUTING -s 192.168.1.62 -j SNAT --to-source 10.1.1.3

тогда нормально, потому что адрес источника подменятся на адрес шлюза. Но, мне кажется, в данном случае логичнее было бы настроить SNAT и DNAT.

winlook38 ★★
(21.05.12 21:48:44 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Глянуть конфиг Cisco Catalyst 2960

Admin

Автоматический svn update

→

Похожие темы