переобразование IP в iptables

[AnrDaemon]

Чтобы делать альясы на хостах, надо, чтобы шлюз провайдера знал, куда отправлять пакеты. Оно вообще будет работать без общения с провайдером в текущей конфигурации?

[MaDRideR]

Чтобы делать альясы на хостах, надо, чтобы шлюз провайдера знал, куда отправлять пакеты. Оно вообще будет работать без общения с провайдером в текущей конфигурации?

если :

Код: [Выделить]

netstat -nr
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         89.175.99.189   0.0.0.0         UG        0 0          0 eth0
10.0.0.0        0.0.0.0         255.255.255.0   U         0 0          0 eth1
89.1*.9*.1*     0.0.0.0         255.255.255.252 U         0 0          0 eth0
21*.4*.**.1**   0.0.0.0         255.255.255.248 U         0 0          0 eth0
то каким боком. У него раз сеть 89.1*.9*.1*  и два сеть 21*.4*.**.1** он хочет один из локальных натить в сеть 21*.4*.**.1** как я понял. НО так как там две сети, там должно быть и два разных шлюза наверное, ведь так ? Покажите как вы это представляете? Я как то думал сделать это с помощью таблиц и iproute2 и все такое

[AnrDaemon]

MaDRideR, я у KT315 спрашивал. А без знания точных адресов на этот вопрос мне представляется сложным ответить.
К тому же, меня не ставляет ощущение, что управлять внешними адресами на одном сервере несколько удобнее, пусть и слегка затратнее.

[koshev]

Чтобы делать альясы на хостах, надо, чтобы шлюз провайдера знал, куда отправлять пакеты.

Дело в том, что шлюз провайдера уже знает куда их слать, иначе алиасы были бы бесполезны уже в текущей конфигурации.

НО так как там две сети, там должно быть и два разных шлюза наверное, ведь так ?

Не так.

Покажите как вы это представляете? Я как то думал сделать это с помощью таблиц и iproute2 и все такое

Спойлер.
Единственное, но не существенное, отличие в том, что вместо PPPoE (спойлер) испольуется IPoE.

[MaDRideR]

НО так как там две сети, там должно быть и два разных шлюза наверное, ведь так ?

Не так.

Покажите как вы это представляете? Я как то думал сделать это с помощью таблиц и iproute2 и все такое

Спойлер.
Единственное, но не существенное, отличие в том, что вместо PPPoE (спойлер) испольуется IPoE.

ну если так, то у вас тогда должен работать банальный POSTROUTING и SNAT (который я выше написал) без лишних головняков. Если это не работает, то получается что шлюз  89.175.99.189  ничего не знает о 21*.4*.**.1** или на нем просто не разрешено хождение пакетов с сети 21*.4*.**.1** на интерфейсе (железка то одна наверное у прова это)
Пользователь решил продолжить мысль 22 Ноября 2012, 10:51:18:Просто у меня похожая схема работает (я со стороны провайдера в сторону магистральщика нашего) У меня есть грубо говоря роутер головной на которое тонна интерфейсов. есть.

Грубо есть один шлюз магистральщика и две моих разных сети, которые ходят от меня в глобал. Я могу отдельных абонентов натить либо в ту либо в ту сеть и оно будет работать. Это при условии что шлюз моего магистральщика знает обе моих сети белых и умеет их маршрутизировать и возвращать трафик туда куда надо. У тебя такая же ситуация.

[Finalls]

Спасибо за советы...
В субботу буду на работе буду пробовать...

[AnrDaemon]

Чтобы делать альясы на хостах, надо, чтобы шлюз провайдера знал, куда отправлять пакеты.

Дело в том, что шлюз провайдера уже знает куда их слать, иначе алиасы были бы бесполезны уже в текущей конфигурации.

Тогда, действительно, если нет каких-то особых требований к функционированию системы, можно прописать альясы внутри сети и решить дело маршрутизацией.

[MaDRideR]

Спасибо за советы...
В субботу буду на работе буду пробовать...

Расскажи потом получилось или нет

[Finalls]

fisher74, реально это надо решать через маркировку соединений. Чтобы полностью исключить любую дурь.
Finalls, потерпите денёк? Я только пришел с работы и валюсь с ног. Завтра-послезавтра набросаю вам примерную схему.
А пока последуйте доброму совету, и переделайте загрузку правил на iptables-restore.

Сделал как вы и посоветовали он выгрузил туда правила делаю ребут....
Интернет натитсья тоесть с рабочей машины я хожу в интернет.  ICMP пакеты не бегают icq не работает все пере направления похоже что тоже не работают....
Начали появляться вот такие странные строчки
штук по 6 сразу : lockfile creation failed: exceeded maximum number of lock attempts

вот то что тут  /etc/network/if-up.d/iptables-rules

(Нажмите, чтобы показать/скрыть)

#! /sbin/iptables-restore
# Generated by iptables-save v1.4.12 on Sat Nov 24 11:36:12 2012
*nat
:PREROUTING ACCEPT [918:71097]
:INPUT ACCEPT [477:34897]
:OUTPUT ACCEPT [449:31635]
:POSTROUTING ACCEPT [23:2555]
-A PREROUTING -d  21*.4*.**.1*6/32 -p tcp -m tcp --dport 2221 -j DNAT --to-destination 10.0.0.12:2221
-A PREROUTING -d 89.1*.9*.1* /32 -p tcp -m tcp --dport 19455 -j DNAT --to-destination 10.0.0.9:3389
-A PREROUTING -d 89.1*.9*.1* /32 -p tcp -m tcp --dport 55555 -j DNAT --to-destination 10.0.0.40:3389
-A PREROUTING -d 89.1*.9*.1* /32 -p tcp -m tcp --dport 19460 -j DNAT --to-destination 10.0.0.6:3389
-A PREROUTING -d 89.1*.9*.1* /32 -p tcp -m tcp --dport 19459 -j DNAT --to-destination 10.0.0.3:3389
-A PREROUTING -d 10.0.0.4/32 -j DNAT --to-destination 21*.4*.**.1*6
-A PREROUTING -i eth1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
-A PREROUTING -d  21*.4*.**.1*6/32 -p tcp -m tcp --dport 25 -j DNAT --to-destination 10.0.0.4
-A PREROUTING -d  21*.4*.**.1*6/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.0.0.4
-A PREROUTING -d  21*.4*.**.1*6/32 -p tcp -m tcp --dport 110 -j DNAT --to-destination 10.0.0.4
-A PREROUTING -d  21*.4*.**.1*6/32 -p tcp -m tcp --dport 143 -j DNAT --to-destination 10.0.0.4
-A PREROUTING -d  21*.4*.**.1*6/32 -p tcp -m tcp --dport 443 -j DNAT --to-destination 10.0.0.4
-A PREROUTING -d  21*.4*.**.1*7/32 -j DNAT --to-destination 10.0.0.7
-A POSTROUTING -o eth0 -j SNAT --to-source  89.1*.9*.1*


-A OUTPUT -p TCP -o eth0 --dport 5190 -j ACCEPT
-A OUTPUT -p TCP -o eth1 --dport 5190 -j ACCEPT
-A INPUT -p ICMP -i eth0 --icmp-type 8 -j ACCEPT
-A INPUT -p ICMP -i eth1 --icmp-type 8 -j ACCEPT
COMMIT
# Completed on Sat Nov 24 11:36:12 2012
# Generated by iptables-save v1.4.12 on Sat Nov 24 11:36:12 2012
*filter
:INPUT ACCEPT [2827:1374413]
:FORWARD ACCEPT [35119:31655729]
:OUTPUT ACCEPT [3104:1340901]
-A INPUT -i lo -j ACCEPT
COMMIT

Вот вывод iptables-save

(Нажмите, чтобы показать/скрыть)

root@cisco:~# iptables-save
# Generated by iptables-save v1.4.12 on Sat Nov 24 12:07:58 2012
*filter
:INPUT ACCEPT [375:32532]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [381:38831]
-A INPUT -i lo -j ACCEPT
COMMIT
# Completed on Sat Nov 24 12:07:58 2012
# Generated by iptables-save v1.4.12 on Sat Nov 24 12:07:58 2012
*nat
:PREROUTING ACCEPT [495:30553]
:INPUT ACCEPT [193:13626]
:OUTPUT ACCEPT [25:1644]
:POSTROUTING ACCEPT [5:302]
-A PREROUTING -d  21*.4*.**.1*6/32 -p tcp -m tcp --dport 2221 -j DNAT --to-destination 10.0.0.12:2221
-A PREROUTING -d 89.1*.9*.1* /32 -p tcp -m tcp --dport 19455 -j DNAT --to-destination 10.0.0.9:3389
-A PREROUTING -d 89.1*.9*.1* /32 -p tcp -m tcp --dport 55555 -j DNAT --to-destination 10.0.0.40:3389
-A PREROUTING -d 89.1*.9*.1* /32 -p tcp -m tcp --dport 19460 -j DNAT --to-destination 10.0.0.6:3389
-A PREROUTING -d 89.1*.9*.1* /32 -p tcp -m tcp --dport 19459 -j DNAT --to-destination 10.0.0.3:3389
-A PREROUTING -d 10.0.0.40/32 -j DNAT --to-destination 21*.4*.**.1*6
-A PREROUTING -i eth1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
-A PREROUTING -d  21*.4*.**.1*6/32 -p tcp -m tcp --dport 25 -j DNAT --to-destination 10.0.0.4
-A PREROUTING -d  21*.4*.**.1*6/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.0.0.4
-A PREROUTING -d  21*.4*.**.1*6/32 -p tcp -m tcp --dport 110 -j DNAT --to-destination 10.0.0.4
-A PREROUTING -d  21*.4*.**.1*6/32 -p tcp -m tcp --dport 143 -j DNAT --to-destination 10.0.0.4
-A PREROUTING -d  21*.4*.**.1*6/32 -p tcp -m tcp --dport 443 -j DNAT --to-destination 10.0.0.4
-A PREROUTING -d  21*.4*.**.1*7/32 -j DNAT --to-destination 10.0.0.7
-A INPUT -i eth0 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -i eth1 -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A OUTPUT -o eth0 -p tcp -m tcp --dport 5190 -j ACCEPT
-A OUTPUT -o eth1 -p tcp -m tcp --dport 5190 -j ACCEPT
-A POSTROUTING -o eth0 -j SNAT --to-source  89.1*.9*.1*
COMMIT
# Completed on Sat Nov 24 12:07:58 2012

Хотя я добавил туда правила для ICMP  и  ICQ

[fisher74]

Вам бы ещё раз работу netfilter поизучать. Хотя бы над схематикой его работы позависайте.
Грубейшие (хотя и не фатальные) ошибки показываете:
1. таблица nat не предназначена для фильрования траффика, для еэтого есть специальная таблица filter
2. цепочки INPUT и OUTPUT не участвуют в транзитном траффике
3. Никогда не правьте бекапы (а именно им является выхлоп iptables-restore) ручками, тем более если не разобрались в его структуре.

[Finalls]

С правилами разобрался сделал чтобы они грузились из отдельного файла...
Перестали задваиватся...
Но правило -A PREROUTING -d 10.0.0.4/32 -j DNAT --to-destination 21*.4*.**.1** не срабатывает ((((

вот вывод iptables-save

(Нажмите, чтобы показать/скрыть)

root@cisco:~# iptables-save
# Generated by iptables-save v1.4.12 on Mon Nov 26 09:53:28 2012
*filter
:INPUT ACCEPT [3319:2430914]
:FORWARD ACCEPT [5867:5286924]
:OUTPUT ACCEPT [3450:2440882]
-A INPUT -i lo -j ACCEPT
COMMIT
# Completed on Mon Nov 26 09:53:28 2012
# Generated by iptables-save v1.4.12 on Mon Nov 26 09:53:28 2012
*nat
:PREROUTING ACCEPT [346:21544]
:INPUT ACCEPT [154:11275]
:OUTPUT ACCEPT [59:3923]
:POSTROUTING ACCEPT [7:422]
-A PREROUTING -d  21*.4*.**.1*6/32 -p tcp -m tcp --dport 2221 -j DNAT --to-destination 10.0.0.12:2221
-A PREROUTING -d 89.1*.9*.1*/32 -p tcp -m tcp --dport 19455 -j DNAT --to-destination 10.0.0.9:3389
-A PREROUTING -d 89.1*.9*.1*/32 -p tcp -m tcp --dport 55555 -j DNAT --to-destination 10.0.0.40:3389
-A PREROUTING -d 89.1*.9*.1*/32 -p tcp -m tcp --dport 19460 -j DNAT --to-destination 10.0.0.6:3389
-A PREROUTING -d 89.1*.9*.1*/32 -p tcp -m tcp --dport 19459 -j DNAT --to-destination 10.0.0.3:3389
-A PREROUTING -d 10.0.0.4/32 -j DNAT --to-destination 21*.4*.**.1*6
-A PREROUTING -i eth1 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
-A PREROUTING -d  21*.4*.**.1*6/32 -p tcp -m tcp --dport 25 -j DNAT --to-destination 10.0.0.4
-A PREROUTING -d  21*.4*.**.1*6/32 -p tcp -m tcp --dport 80 -j DNAT --to-destination 10.0.0.4
-A PREROUTING -d  21*.4*.**.1*6/32 -p tcp -m tcp --dport 110 -j DNAT --to-destination 10.0.0.4
-A PREROUTING -d  21*.4*.**.1*6/32 -p tcp -m tcp --dport 143 -j DNAT --to-destination 10.0.0.4
-A PREROUTING -d  21*.4*.**.1*6/32 -p tcp -m tcp --dport 443 -j DNAT --to-destination 10.0.0.4
-A PREROUTING -d  21*.4*.**.1*7/32 -j DNAT --to-destination 10.0.0.7
-A POSTROUTING -o eth0 -j SNAT --to-source   89.1*.9*.1*
COMMIT
# Completed on Mon Nov 26 09:53:28 2012

[fisher74]

А с чего оно должно сработать? Я в нём смысла не вижу в данной конфигурации (если конечно не упустил чего просматривая тему по диагонали).

[Finalls]

А с чего оно должно сработать? Я в нём смысла не вижу в данной конфигурации (если конечно не упустил чего просматривая тему по диагонали).

ну подскажи тогда как его описать так чтобы оно сработало... ?

-A POSTROUTING -s 10.0.0.4 -o eth0 -j SNAT --to-source IP (указываете IP который нужен именно для этого хоста)
-A POSTROUTING -s 10.0.0.0/8 -o eth0 -j SNAT --to-source IP (указываете IP который будет который нужен для ВСЕЙ сети)

В таком порядке оно тоже не срабатывает...  (((

Почемуто после переделки iptables не двоится а вот такая запись в консоле появляется очень часто..
lockfile creation failed: exceeded maximum number of lock attempts

[AnrDaemon]

Потому что у вас второе правило перезаписывает первое.

[Finalls]

Потому что у вас второе правило перезаписывает первое.

так хорошо .... но ка кто же можно сделать чтобы оно не перезаписывало ?