Проблемка с NAT и SNAT

[Sazon4ik]

Есть шлюз, есть локалка. В локалке веб-сервер с IP 192.168.0.5. Проброшен 80 порт на него командой на шлюзе.

Код: [Выделить]

iptables -t nat -A PREROUTING -i ppp0 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.5:80
Но на локальные ресурсы по внешнему домену не заходит. Ладно, сделал SNAT по 80 порту.

Код: [Выделить]

iptables -t nat -A POSTROUTING -p tcp --dst 192.168.0.5 --dport 80 -j SNAT --to-source 192.168.0.1
Но блин! Теперь не видны IP'шники юзеров. Т.е. кто-нибудь, например, постит на форуме и IP адрес, с которого был написан данный пост - адрес шлюза, т.е. 192.168.0.1

Подскажите, что делать? 

[ArcFi]

Например, привязать имя к локальному IP на DNS.
Или добавить --source в правило для SNAT.

[Sazon4ik]

Можно, пожалуйста, поподробнее?

[ArcFi]

Ставите на шлюзе dnsmasq и заворачиваете на него всю локалку.
Либо дописываете правило SNAT, чтобы оно выполнялось только для машин из локалки.

[Sazon4ik]

На шлюзе стоит dnsmasq.

Я не знаю как дописать =)
Не подскажете, что почитать, чтобы понять, как?

[ArcFi]

Код: [Выделить]

# cat /etc/dnsmasq.d/example.org.conf
address=/web.example.org/192.168.0.5

[AnrDaemon]

Но на локальные ресурсы по внешнему домену не заходит.

На русский переведите.

[ArcFi]

На русский переведите.

У него доменное имя резолвится на внешний IP, но обращение идёт с локалки, поэтому правило DNAT не срабатывает. Видимо, так.

[AnrDaemon]

ArcFi, я понимаю, что с моей колокольни можно много смыслов подставить.
Но я не люблю играть в угадайку. Не то место и не тот случай.

[Sazon4ik]

Есть веб-сервер с IP адресом 1.2.3.4. На нем крутится сайт example.com. Если на веб-сервере выполнить команду, например,

Код: [Выделить]

wget http://example.com/index.php то выдаст ошибку. Или просто с компьютера, который в этой локальной сети и который, соответственно, имеет такой-же IP адрес 1.2.3.4, зайти на сайт example.com, то он не зайдет, а выдаст ошибку.

ArcFi, а можно, пожалуйста, еще поподробнее? 

[ArcFi]

а можно, пожалуйста, еще поподробнее?

Код: [Выделить]

echo "address=/web.example.org/192.168.0.5" | sudo tee /etc/dnsmasq.d/example.org.conf
sudo service dnsmasq restart

[Sazon4ik]

а можно, пожалуйста, еще поподробнее?

Код: [Выделить]

echo "address=/web.example.org/192.168.0.5" | sudo tee /etc/dnsmasq.d/example.org.conf
sudo service dnsmasq restart

Спасибо большое, помогло!
Пользователь решил продолжить мысль 22 Мая 2013, 15:18:05:Хмм... После выполненных операций, спустя 30 минут шлюз повис полностью, по SSH не отвечает, интернет, естественно, не раздаёт, пришлось перезагружать. На всякий случай, убрал всё, что сделал.

Что это может быть? 

[ArcFi]

Что это может быть?

Что угодно.
Либо отвалился dnsmasq, либо сеть, либо kernel-panic.
Надо анализировать логи.