Автор Тема: шлюз и внешний айпи (Прочитано 2351 раз)

boomer_shift · « : 24 Июня 2009, 15:46:12 »

Есть сервак. На нем стоит Ubuntu Server 8.10 и настроен NAT-шлюз для нескольких клиентов. На сервере такая картина:
eth0 - ip 192.168.1.2 mask 255.255.255.0 gateway 192.168.1.1
eth1 - ip 172.27.0.1 mask 255.255.0.0

Сейчас все клиенты могут спокойно видеть сеть 192.168.1.х, но мне нужно сделать так, чтоб один сервер(S1) из сети 172.27.х.х было видно в сети 192.168.1.х, тобишь дать ему внешний айпи таким образом чтоб все спокойно могли конектится к S1. Как такое реализовать?

uid0 · « **Ответ #1 :** 24 Июня 2009, 16:18:32 »

Мне кажется нужно прописать маршрут для это сервера1 в сеть 192.168.1.х

boomer_shift · « **Ответ #2 :** 24 Июня 2009, 17:25:28 »

если для этого нужно прописать маршрут - то как?

uid0 · « **Ответ #3 :** 24 Июня 2009, 17:37:19 »

с Ubuntu Server 8.10 команду route можно посмотреть ?

boomer_shift · « **Ответ #4 :** 26 Июня 2009, 15:48:52 »

не думаю что здесь суть в route. Скорей надо какие-то правила в фаерволе дописать. Кто-то подскажет

Tokh · « **Ответ #5 :** 26 Июня 2009, 18:41:20 »

Поскольку имеет место быть NAT, все компьютеры из сети 172.27.0.0/16 снаружи будут видны как один единственный компьютер по адресу 192.168.1.2. И любые серверы из сети 172.27.0.0/16 снаружи будут доступны только по адресу 192.168.1.2, а на машине 192.168.1.2, для входящего трафика, направленного в порт публикуемого сервера, придётся делать тоже NAT, но в другую сторону. Это называется прокидывать порт, port forwarding. Номер порта зависит от того какой сервер. Для Самба используется 4 порта: tcp;445,139 и udp;137,138. Не обязательно открывать их все.
https://forum.ubuntu.ru/index.php?topic=51795.0

Нужно ли править маршрутизацию, см. по обстоятельствам.
tcpdump в помощь при отладке, смотреть с какого адреса на какой происходит трафик.

P.S. В принципе, технически, при таких адресах можно вообще NAT не делать, совсем не делать, а обойтись обыкновенной маршрутизацией на шлюзе 192.168.1.2. Т.е. убрать правило iptables делающее NAT, и взамен понапрописывать нужных маршрутов. Но там не пришлось бы тогда настраивать шлюз 192.168.1.1 ...

terrible_user · « **Ответ #6 :** 26 Июня 2009, 19:26:40 »

При чем тут NAT ? Из сети 192.168.1.х надо зайти на комп 172.27.х.х, можно через НАТ можно и нет, как угодно. На клиентских машинах должен быть прописан шлюз по умолчанию 192.168.1.2
Вообще то не плохо было сделать вывод правил iptables, для этого
И таблицу маршрутизации тоже в студию route -n

Если на сервере присутствует запись в route типа

Код: [Выделить]

172.27.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth1то все должно быть нормально. Как вариант смотреть в iptables, что там может быть не так

Tokh · « **Ответ #7 :** 26 Июня 2009, 19:56:07 »

Цитата: terrible_user от 26 Июня 2009, 19:26:40

Из сети 192.168.1.х надо зайти на комп 172.27.х.х, можно через НАТ можно и нет, как угодно.

Если без прокидывания порта, то на всех машинах 192.168.1.0/24 должен быть маршрут к 172.27.0.0/16 через 192.168.1.2, на каждой. Или такой маршрут должен быть только на 192.168.1.1.

+ Когда через 192.168.1.2, обратно пойдёт пакет от S1 в 192.168.1.0/24, придётся контролировать, чтобы пакету не был сделан SNAT, чтобы 172.27.х.х не было заменено на 192.168.1.2. Т.е. в правилах iptables должно быть правило, стоящее перед правилом делающим SNAT и "перехватывающее", принимающее этот пакет для отправки без изменений адреса источника.

ИМХО прокинуть проще. Чем контролировать, вероятно, чужие машины из 192.168.1.0/24 ...

bla-bla-bla · « **Ответ #8 :** 26 Июня 2009, 21:05:33 »

пропиши правила в IpTables
выложи конфиг IpTables - посмотрим, поможем чем сможем

Гарри Кашпировский · « **Ответ #9 :** 26 Июня 2009, 21:59:21 »

Дык оно тебе две сети нужно объединить?
Роутингом все рулиться тогда. А iptables'ом оставить нужный сервак.
Или таки нифига не так?

bla-bla-bla · « **Ответ #10 :** 26 Июня 2009, 22:16:22 »

Цитата: Гарри Кашпировский от 26 Июня 2009, 21:59:21

Дык оно тебе две сети нужно объединить?
Роутингом все рулиться тогда. А iptables'ом оставить нужный сервак.
Или таки нифига не так?

да и без роутинга iptables сам разрулит если прописать грамотно =)

AnrDaemon · « **Ответ #11 :** 27 Июня 2009, 03:56:41 »

Right. Вообще, одна строчка в IPTABLES всё решает.

terrible_user · « **Ответ #12 :** 27 Июня 2009, 13:43:08 »

Цитата: u-375 от 26 Июня 2009, 19:56:07

+ Когда через 192.168.1.2, обратно пойдёт пакет от S1 в 192.168.1.0/24, придётся контролировать, чтобы пакету не был сделан SNAT, чтобы 172.27.х.х не было заменено на 192.168.1.2. Т.е. в правилах iptables должно быть правило, стоящее перед правилом делающим SNAT и "перехватывающее", принимающее этот пакет для отправки без изменений адреса источника.

Это какая-то извращенность. Можно просто задать правило как нам нужно, без всякого там перехвата и замены. Возможно 2 правила NAT, для всего тог что идет из 192.. к 172 и для всего остального что идет из обоих сетей во внешний мир.

AnrDaemon · « **Ответ #13 :** 27 Июня 2009, 14:07:26 »

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 172.27.0.0/16 -j SNAT --to-source <наш_адрес_в_сети_172.27>

Tokh · « **Ответ #14 :** 27 Июня 2009, 14:20:11 »

По ссылке рекомендован DNAT до маршрутизации.

Форум русскоязычного сообщества Ubuntu

Автор Тема: шлюз и внешний айпи (Прочитано 2351 раз)

boomer_shift

шлюз и внешний айпи

uid0

Re: шлюз и внешний айпи

boomer_shift

Re: шлюз и внешний айпи

uid0

Re: шлюз и внешний айпи

boomer_shift

Re: шлюз и внешний айпи

Tokh

Re: шлюз и внешний айпи

terrible_user

Re: шлюз и внешний айпи

Tokh

Re: шлюз и внешний айпи

bla-bla-bla

Re: шлюз и внешний айпи

Гарри Кашпировский

Re: шлюз и внешний айпи

bla-bla-bla

Re: шлюз и внешний айпи

AnrDaemon

Re: шлюз и внешний айпи

terrible_user

Re: шлюз и внешний айпи

AnrDaemon

Re: шлюз и внешний айпи

Tokh

Re: шлюз и внешний айпи