Нестандартная сеть на базе Ubuntu 14.04

[Tenzor]

Добрый день.

На данный момент я являюсь достаточно уверенным пользователем Ubuntu, однако настройка сети пока вызывает трудности. Хочу проконсультироваться у сообщества, возможно где-то допускаю ошибки.

Суть проблемы: мы переехали в новое офисное здание. Реализация доступа в интернет осуществлено следующим образом: на выделенный  сервер (т.е. отдельно стоящий компьютер) установлено 3 сетевых платы: на одну входит интернет от провайдера, ещё одна используется арендодателем под свою локальную сеть, последняя сетевая раздаёт интернет раздаёт интернет арендаторам.


Специфика нашей работы требует выделенного IP-адреса, с чем проблем не возникло: провайдер предоставил нашему арендодателю 3 IP-адреса. Однако возникла проблема с их использованием: работу сети настроили ранее один раз, она работала и не требовала специалистов. Сейчас я пытаюсь решить данную проблему на основании ранее полученного опыта.
Собственно, получаем немного изменённую структуру сети:


Необходимо, чтобы адрес XXX.XXX.YYY.2 транслировался на внутренний адрес 192.168.1.22, соответственно два другие адреса транслировать на два других внутренних адреса. Если настроить данное условие для первого IP-адреса, остальные можно сделать под копирку.
Достаточно ли дополнить таблицу iptables следующими правилами:

Код: [Выделить]

iptables -t nat -I PREROUTING -d XXX.XXX.YYY.2 -j DNAT --to-destination 192.168.1.22
iptables -t nat -I POSTROUTING -d 192.168.1.22 -j SNAT --to-source XXX.XXX.YYY.2
Заранее спасибо!

[fisher74]

Если реализовывать именно по такой схеме, то да, вполне достаточно.

[AnrDaemon]

Второе правило убьёт весь смысл внешнего адреса. Когда вы уже научитесь думать, что делаете?…

[Tenzor]

fisher74: Спасибо
AnrDaemon, Я так понял --dport там лишний. Случайно сюда вписал, отвлекли. Без него, надеюсь, всё верно?

[AnrDaemon]

Всё правило вообще лишнее.

P.S.
Если на то пошло, это вообще решается через таблицу маршрутизации.

[fisher74]

Присмотрелся.. да, во втором правиле есть грабли, не заметил. Но с "убьёт весь смысл" не согласен

iptables -t nat -I POSTROUTING -ds 192.168.1.22 -j SNAT --to-source XXX.XXX.YYY.2

Если второе правило убрать, то трафик от 192.168.1.22 будет выходить в интернет с основным адресом шлюза, а по условию задачи - должен с выделенным.
Если на то пошло, то можно вообще сказать что всё неправильно и нужно делать DMZ и/или vlan-ы...
Человек решает задачи в соответствии со своими знаниями и оборудованием.
Поэтому

Когда вы уже научитесь думать, что делаете?…

считаю неуместным.
Прекрасные разбор задачи и попытка её решения. Практически самостоятельное. Такие темы ещё поискать надо.

[Tenzor]

Большое спасибо за ответы. Решаю, вероятно, действительно чересчур странно, но глубоко лезть в настройку сети сложно, в основном из-за прямых обязанностей. А настройка сети - лишь попытка ускорить ввод офиса в полноценную работу.

Надеюсь до "верных" решений я когда-нибудь таки доберусь!

[AnrDaemon]

Присмотрелся.. да, во втором правиле есть грабли, не заметил. Но с "убьёт весь смысл" не согласен

iptables -t nat -I POSTROUTING -ds 192.168.1.22 -j SNAT --to-source XXX.XXX.YYY.2

Если второе правило убрать, то трафик от 192.168.1.22 будет выходить в интернет с основным адресом шлюза, а по условию задачи - должен с выделенным.
Если на то пошло, то можно вообще сказать что всё неправильно и нужно делать DMZ и/или vlan-ы...
Человек решает задачи в соответствии со своими знаниями и оборудованием.
Поэтому

Когда вы уже научитесь думать, что делаете?…

считаю неуместным.
Прекрасные разбор задачи и попытка её решения. Практически самостоятельное. Такие темы ещё поискать надо.

Ну, если решать именно через IPTABLES, то да, поменять -d на -s можно. Так будет работать.
Но почему не запилить просто маршрутизацию? Без всяких вланов (я так понял, сеть между тремя маршрутизаторами контролируемая).
Пользователь решил продолжить мысль 02 Февраля 2015, 23:23:58:

Надеюсь до "верных" решений я когда-нибудь таки доберусь!

Решение на самом деле лежит на поверхности.
Шлюзам раздать реальные IP, а на том, что смотрит в интернет, прописать маршруты до реальных IP внутренних шлюзов через их сетевые карты.
ip route replace $IP2/32 dev $lan2

[bukass]

Tenzor,
Провайдер выдал вам сеть XXX.XXX.YYY.0/30? Если так, то XXX.XXX.YYY.1 шлюз заведенный на интерфейсе провайдера, XXX.XXX.YYY.2/30 ваш IP адрес, а XXX.XXX.YYY.3/30 броадкаст сети. Сеть не маршрутизируемая. Попросите у провайдера XXX.XXX.YYY.0/29 сеть и попросите замаршрутизировать ее на IP XXX.XXX.XXX.XXX. Тогда будет возможность раздать 6 внешних адресов в свою сеть, или 4 если маршрутизируешь сам.

[fisher74]

Только вот зачем платить ещё за 4 неиспользуемых адреса. Только если халява...

[bukass]

Только вот зачем платить ещё за 4 неиспользуемых адреса. Только если халява...

Ну тогда как вариант, просто взять XXX.XXX.YYY.0/29 и распилить для себя.