SNAT не изменяет адрес

0

1

Здравствуйте.

Есть сервер со смотрящим наружу IP адресом: 7.7.7.7 на eth0. И виртуальный 192.168.1.1 на tap0 (с помощью vde2 создал). На 192.168.1.1:2000 висит ssh демон.

Надо, чтобы при коннекте на 7.7.7.7:22 запрос шел на 192.168.1.1:2000, но при этом адрес клиента был 192.168.1.2 например.

iptables -t nat -A PREROUTING -p tcp -d 7.7.7.7 --dport 22 -j DNAT --to-destination 192.168.1.1:2000

Так все работает. Теперь пытаемся изменить исходящий IP адрес на несуществующий 192.168.1.2. Добавляем:

iptables -t nat -A POSTROUTING -p tcp -d 192.168.1.1 --dport 2000 -j SNAT --to-source 192.168.1.2

Но адрес не меняется на 192.168.1.2 :( Подскажите, что я не так делаю?

Заранее спасибо.

Ссылка

←	SARG не отображает скачаные файлы

pg_dump: а как же юзеры??

→

Вы уверены что он не меняется, как проверяли?

pyatak123 ★
(11.04.13 12:12:45 MSK)

Ну сходу можно сказать, что во втором правиле вместо -d --dport логичнее выглядят -s --sport (хотя толку от изменения все равно быть не должно).
У меня ощущение, что ты неправильно делаешь не то, что надо. Вряд ли тебя обрадует результат, когда ты начнешь делать то, что не надо, правильным способом.
Опиши задачу.

thesis ★★★★★
(11.04.13 12:16:35 MSK)

Ответ на: комментарий от pyatak123 11.04.13 12:12:45 MSK

Да, уверен. По логам sshd в /var/log/auth.log

Может это из-за того, что адрес 192.168.1.2 несуществующий и tap0 тоже виртуальный? :) Я просто в iptables не очень силен, не могу сообразить из-за чего оно может не меняться...

Zapekankin
(11.04.13 12:17:44 MSK) автор топика

Ответ на: комментарий от thesis 11.04.13 12:16:35 MSK

user [internet] -> 7.7.7.7:22 --[192.168.1.2]--> 192.168.1.1:2000

То есть на 192.168.1.1 надо получать соединения, словно они пришли из этой же подсети.

Zapekankin
(11.04.13 12:20:51 MSK) автор топика

Ответ на: комментарий от Zapekankin 11.04.13 12:17:44 MSK

Нет дело не в этом, дело в том что если это трафик приходящий на хост, то трафик не проходит через цепочку POSTROUTING. попробуйте в таблице mangle source поменять.
http://www.faqs.org/docs/iptables/traversingoftables.html

pyatak123 ★
(11.04.13 12:31:12 MSK)

Ссылка

Ответ на: комментарий от Zapekankin 11.04.13 12:20:51 MSK

Второе правило:

iptables -t nat -A INPUT -s <критерий_адреса_внешнего_клиента> -p tcp -d 192.168.1.1 --dport 2000 -j SNAT --to-source 192.168.1.2

Вроде так.

thesis ★★★★★
(11.04.13 12:54:13 MSK)
Последнее исправление: thesis 11.04.13 12:54:58 MSK (всего исправлений: 1)

Ответ на: комментарий от thesis 11.04.13 12:54:13 MSK

В INPUT snat/dnat не работает.

pyatak123 ★
(11.04.13 13:11:16 MSK)
Последнее исправление: pyatak123 11.04.13 13:11:59 MSK (всего исправлений: 1)

Ответ на: комментарий от Zapekankin 11.04.13 12:17:44 MSK

А ты картиночку глянь, она проясняет. В ФАКе, что человек выше привел, картиночка более мутная, а эта хорошая (ну а при желании можно и получше нагуглить).
http://linux-ip.net/nf/nfk-traversal.png
Теперь ты понимаешь, что в том месте, в которое ты пихаешь второе правило, оно сработать не может, а если даже поменять критерии и заставить его сработать, то получишь черт знает что - локальный адрес источника в пакете, улетающем в интернет.

thesis ★★★★★
(11.04.13 13:12:24 MSK)

Ссылка

Ответ на: комментарий от pyatak123 11.04.13 13:11:16 MSK

Правда?)

thesis ★★★★★
(11.04.13 13:12:35 MSK)

Ответ на: комментарий от thesis 11.04.13 13:12:35 MSK

Ну ты у себя на localhost проверил бы ...

pyatak123 ★
(11.04.13 13:16:48 MSK)

Ответ на: комментарий от pyatak123 11.04.13 13:16:48 MSK

Ну ты у себя на localhost проверил бы ...

thesis ★★★★★
(11.04.13 13:18:10 MSK)

Ответ на: комментарий от thesis 11.04.13 13:12:35 MSK

Кстати, да, про INPUT и snat/dnat похоже на правду. :)

В mangle source тоже никак не изменить как я понимаю.

Теперь ты понимаешь, что в том месте, в которое ты пихаешь второе правило, оно сработать не может, а если даже поменять критерии и заставить его сработать, то получишь черт знает что - локальный адрес источника в пакете, улетающем в интернет.

Да, теперь более менее ясно... Но все равно мне как-то с первого взгляда трудно воспринять эту схему. И поэтому я теперь не представляю где же source менять.

Zapekankin
(11.04.13 13:18:41 MSK) автор топика

Ссылка

Ответ на: комментарий от thesis 11.04.13 13:18:10 MSK

А ты прав...

pyatak123 ★
(11.04.13 13:19:21 MSK)

Ответ на: комментарий от pyatak123 11.04.13 13:19:21 MSK

А то!)
Ну ты тоже, наполовину. DNAT не работает, конечно.

thesis ★★★★★
(11.04.13 13:20:43 MSK)

Ссылка

Ответ на: комментарий от thesis 11.04.13 12:54:13 MSK

С INPUT у меня выдает: iptables: No chain/target/match by that name. Да и по мануалу смотрю, для таблицы nat нет INPUT.

Zapekankin
(11.04.13 13:20:43 MSK) автор топика

Ответ на: комментарий от Zapekankin 11.04.13 13:20:43 MSK

У тебя что-то редхатовое, что ли? Или еще какая-то стабильнота?

thesis ★★★★★
(11.04.13 13:22:23 MSK)
Последнее исправление: thesis 11.04.13 13:22:43 MSK (всего исправлений: 1)

Ответ на: комментарий от thesis 11.04.13 13:22:23 MSK

Debian Squeeze. ;)

Zapekankin
(11.04.13 13:23:20 MSK) автор топика

Ответ на: комментарий от Zapekankin 11.04.13 13:23:20 MSK

Ну тогда ой. Тебе надо либо более новое ядро с иптаблесами тащить из бэкпортов или тестинга, либо фиг его знает. В существующем положении задача выглядит нерешаемой.

thesis ★★★★★
(11.04.13 13:33:09 MSK)

Ответ на: комментарий от thesis 11.04.13 13:33:09 MSK

А у вас с новым iptables все работает? Клево, если да... Да, тогда посмотрю в сторону нового iptables. Спасибо вам всем.

Zapekankin
(11.04.13 13:35:13 MSK) автор топика

Ответ на: комментарий от Zapekankin 11.04.13 13:35:13 MSK

Да, работает. Демон принимает интернетовского клиента за клиента из локалки, netstat показывает клиента из локалки. все красиво.
Не за что.

thesis ★★★★★
(11.04.13 13:42:26 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	SARG не отображает скачаные файлы

Admin

pg_dump: а как же юзеры??

→

Похожие темы