NAT и маршрутизация

[sammy-el]

Добрый день.

Есть сервер с несколькими interface vlan, соответственно с доступом до нескольких сетей.
Необходимо настроить nat для одно из интерфейсов так, чтобы устройства их этой сети имели доступ до всех других сетей.

[fisher74]

Вы сами механизм можете представить?

[AnrDaemon]

NAT к маршрутизации имеет левое отношение.

[fisher74]

Между этими словами в теме есть союз "и", так что сочетание вполне корректное.
Но ТЗ кривое

[AnrDaemon]

Для того и написал, чтобы ТС ещё раз задумался над постановкой задачи

[sammy-el]

Хорошо, опишу так:
Сервер смотрит в сети -
10.10.10.0/24 - влан 10
10.10.20.0/24 - влан 20
10.10.30.0/24 - влан 30
192.168.1.0/24 - влан 40
Как сделать так, чтобы устройства из сети 192.168.1.0 имели доступ до других сетей?
Проблема в том, что например пингуя с хоста 192.168.1.2 хост 10.10.10.2, пакет на втором устройстве будет иметь source адрес - 192.168.1.2, а устроиства сети 10.10.10.0 маршрутов до нее не имеют.

[fisher74]

Самое простое:

Код: [Выделить]

sudo iptables -t nat -A POSTROUTING -s 192.168.1.0/24 ! -o vlan40 -j MASQUERADE
Если ближе к феншую, то

Код: [Выделить]

sudo iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o vlan10 -j SNAT --to-source 10.10.10.1
sudo iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o vlan20 -j SNAT --to-source 10.10.20.1
sudo iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o vlan30 -j SNAT --to-source 10.10.30.1
source-address выбирать соответствующий интерфейсу

Если делать совсем по фенщую, то делать сквозную маршрутизацию. То бишь добиваться наличия на клиентах маршрутов до всех уголков сети.

[AnrDaemon]

+1 к последнему предложению.

[sammy-el]

Ну на счет маршрутов на всех узлах, это во многом зависит от масштабов сети.
За совет спасибо, все заработало.

[fisher74]

Ну на счет маршрутов на всех узлах, это во многом зависит от масштабов сети.

От масштабов это не зависит. От слова ВООБЩЕ.
Скорее зависит от полномочий и опыта страждующего.