forum.opennet.ru - "Проблемы с NAT" (13)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Проблемы с NAT"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Проблемы с NAT"
Сообщение от Oleg on 14-Ноя-02, 13:49 (MSK)
Господа ,подскажите. Есть firewall между лосалом и миром на linux-машине. При настройке маскарадинга все бегает,всё пингуется. iptables -t nat -A POSTROUTING -s $LOCAL -d $EXTERNAL -j MASQUERADE Но хотелось бы настроить NAT. меняю на iptables -t nat -A POSTROUTING -s $LOCAL -d $EXTERNAL -j SNAT --to-source $REAL_IP и начинаются проблемы.ничего не пингуется. где копать ?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

RE: Проблемы с NAT, Z, 14:04 , 14-Ноя-02, (1)
- RE: Проблемы с NAT, Я, 14:08 , 14-Ноя-02, (2)
RE: Проблемы с NAT, and, 14:10 , 14-Ноя-02, (3)
- RE: Проблемы с NAT, Oleg, 14:36 , 14-Ноя-02, (4)
  - RE: Проблемы с NAT, and, 15:33 , 14-Ноя-02, (5)
    - RE: Проблемы с NAT, Oleg, 15:40 , 14-Ноя-02, (6)
      - RE: Проблемы с NAT, and, 16:06 , 14-Ноя-02, (7)
        
        RE: Проблемы с NAT, Oleg, 09:12 , 15-Ноя-02, (9)
        
        RE: Проблемы с NAT, Firewalker, 11:17 , 19-Ноя-02, (13)
RE: Проблемы с NAT, Sampan, 01:19 , 15-Ноя-02, (8)
- RE: Проблемы с NAT, Oleg, 09:15 , 15-Ноя-02, (10)
  - RE: Проблемы с NAT, Sampan, 23:34 , 15-Ноя-02, (11)
    - RE: Проблемы с NAT, Oleg, 12:44 , 18-Ноя-02, (12)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: Проблемы с NAT"

Сообщение от Z on 14-Ноя-02, 14:04  (MSK)

Привет !
Попробуй допиши где-нить
iptables -A INPUT -p TCP -m state --state RELATED -j ACCEPT
может поможет.

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: Проблемы с NAT"

Сообщение от Я on 14-Ноя-02, 14:08  (MSK)

>Привет !
>Попробуй допиши где-нить
>iptables -A INPUT -p TCP -m state --state RELATED -j ACCEPT
>может поможет.
Sorry! Стормозил! Было ....-A INPUT -p icmp -m state.......

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: Проблемы с NAT"

Сообщение от and on 14-Ноя-02, 14:10  (MSK)

опцию "-o" забыл

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "RE: Проблемы с NAT"

Сообщение от Oleg on 14-Ноя-02, 14:36  (MSK)

>опцию "-o" забыл
-o eth1 пробовал.то же самое.

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "RE: Проблемы с NAT"

Сообщение от and on 14-Ноя-02, 15:33  (MSK)

>>опцию "-o" забыл
>-o eth1 пробовал.то же самое.

а eth1 это у тебя внешний интерфейс на котором реальный айпи?

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "RE: Проблемы с NAT"

Сообщение от Oleg on 14-Ноя-02, 15:40  (MSK)

>>>опцию "-o" забыл
>>-o eth1 пробовал.то же самое.
>
>
>а eth1 это у тебя внешний интерфейс на котором реальный айпи?
конечно.

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "RE: Проблемы с NAT"

Сообщение от and on 14-Ноя-02, 16:06  (MSK)

>>>>опцию "-o" забыл
>>>-o eth1 пробовал.то же самое.
>>
>>
>>а eth1 это у тебя внешний интерфейс на котором реальный айпи?
>конечно.
а приведи вывод
iptables -L -vn
iptables -t nat -L -vn

Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "RE: Проблемы с NAT"

Сообщение от Oleg on 15-Ноя-02, 09:12  (MSK)

>>>>>опцию "-o" забыл
>>>>-o eth1 пробовал.то же самое.
>>>
>>>
>>>а eth1 это у тебя внешний интерфейс на котором реальный айпи?
>>конечно.
>
>а приведи вывод
>iptables -L -vn
Chain POSTROUTING
    0     0 ACCEPT     all  --  *      *       192.168.100.11       0.0.0.0/0
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            192.168.100.11
>iptables -t nat -L -vn
Chain FORWARD
0     0 SNAT       tcp  --  *      eth1    192.168.100.11       0.0.0.0/0  $REAL_IP

Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "RE: Проблемы с NAT"

Сообщение от Firewalker on 19-Ноя-02, 11:17  (MSK)

>Chain FORWARD
>0     0 SNAT
> tcp  --  *
>eth1    192.168.100.11
>0.0.0.0/0  $REAL_IP
дык у тебя в POSTROUTING или FORWARD цепочке SNAT стоит?
должен в POSTROUTING.

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "RE: Проблемы с NAT"

Сообщение от Sampan on 15-Ноя-02, 01:19  (MSK)

>При настройке маскарадинга все бегает,всё пингуется.
>iptables -t nat -A POSTROUTING -s $LOCAL -d $EXTERNAL
>-j MASQUERADE
>Но хотелось бы настроить NAT.
>меняю на
>iptables -t nat -A POSTROUTING -s $LOCAL -d $EXTERNAL
>-j SNAT  --to-source $REAL_IP
>и начинаются проблемы.ничего не пингуется.
Если при MASQUERADE все работает, а при SNAT нет - значит все правила фильтрации правильные и не меняй ни чего.
>
>где копать ?
Режимы MASQUERADE и SNAT отличаются, в том числе, разными загружаемыми модулями. Вот здесь и копай.

Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "RE: Проблемы с NAT"

Сообщение от Oleg on 15-Ноя-02, 09:15  (MSK)

>>При настройке маскарадинга все бегает,всё пингуется.
>>iptables -t nat -A POSTROUTING -s $LOCAL -d $EXTERNAL
>>-j MASQUERADE
>>Но хотелось бы настроить NAT.
>>меняю на
>>iptables -t nat -A POSTROUTING -s $LOCAL -d $EXTERNAL
>>-j SNAT  --to-source $REAL_IP
>>и начинаются проблемы.ничего не пингуется.
>Если при MASQUERADE все работает, а при SNAT нет - значит все
>правила фильтрации правильные и не меняй ни чего.
>>
>>где копать ?
>Режимы MASQUERADE и SNAT отличаются, в том числе, разными загружаемыми модулями. Вот
>здесь и копай.
если при SNAT ставлю $REAL_IP равный IP внешнего интерфейса
(что по сути равно MASQUERADE) то работает ,
выходит SNAT все таки работает.

Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "RE: Проблемы с NAT"

Сообщение от Sampan on 15-Ноя-02, 23:34  (MSK)

>
>если при SNAT ставлю $REAL_IP равный IP внешнего интерфейса
>то работает ,
Интересно, а какой-же IP, кроме "равный IP внешнего интерфейса" ты ставил в правилах SNAT, когда не работало?
Чего-то ты замутил!
>(что по сути равно MASQUERADE)
Не совсем верно. MASQUERADE и SNAT выполняют одну задачу, с одним отличием: MASQUERADE поддерживает динамическую смену "IP внешнего интерфейса" (например, dialup), а SNAT, без переконфигурирования и явного указания нового "IP внешнего интерфейса", - нет. Цена этого - ресурсы. По сему, без надобности, лучше MASQUERADE не употреблять.

Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "RE: Проблемы с NAT"

Сообщение от Oleg on 18-Ноя-02, 12:44  (MSK)

>>
>>если при SNAT ставлю $REAL_IP равный IP внешнего интерфейса
>>то работает ,
>Интересно, а какой-же IP, кроме "равный IP внешнего интерфейса" ты ставил в
>правилах SNAT, когда не работало?
>Чего-то ты замутил!
если у меня есть некоторый диапазон "честных" адресов ,
один из них я присваиваю внешнему интерфейсу ,
а остальные хочу присваивать машинам выходящим в мир.

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "RE: Проблемы с NAT"
Сообщение от Z on 14-Ноя-02, 14:04 (MSK)
Привет ! Попробуй допиши где-нить iptables -A INPUT -p TCP -m state --state RELATED -j ACCEPT может поможет.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "RE: Проблемы с NAT"
	Сообщение от Я on 14-Ноя-02, 14:08 (MSK)
	>Привет ! >Попробуй допиши где-нить >iptables -A INPUT -p TCP -m state --state RELATED -j ACCEPT >может поможет. Sorry! Стормозил! Было ....-A INPUT -p icmp -m state.......
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх

3. "RE: Проблемы с NAT"
Сообщение от and on 14-Ноя-02, 14:10 (MSK)
опцию "-o" забыл
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "RE: Проблемы с NAT"
	Сообщение от Oleg on 14-Ноя-02, 14:36 (MSK)
	>опцию "-o" забыл -o eth1 пробовал.то же самое.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "RE: Проблемы с NAT"
	Сообщение от and on 14-Ноя-02, 15:33 (MSK)
	>>опцию "-o" забыл >-o eth1 пробовал.то же самое. а eth1 это у тебя внешний интерфейс на котором реальный айпи?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "RE: Проблемы с NAT"
	Сообщение от Oleg on 14-Ноя-02, 15:40 (MSK)
	>>>опцию "-o" забыл >>-o eth1 пробовал.то же самое. > > >а eth1 это у тебя внешний интерфейс на котором реальный айпи? конечно.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "RE: Проблемы с NAT"
	Сообщение от and on 14-Ноя-02, 16:06 (MSK)
	>>>>опцию "-o" забыл >>>-o eth1 пробовал.то же самое. >> >> >>а eth1 это у тебя внешний интерфейс на котором реальный айпи? >конечно. а приведи вывод iptables -L -vn iptables -t nat -L -vn
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "RE: Проблемы с NAT"
	Сообщение от Oleg on 15-Ноя-02, 09:12 (MSK)
	>>>>>опцию "-o" забыл >>>>-o eth1 пробовал.то же самое. >>> >>> >>>а eth1 это у тебя внешний интерфейс на котором реальный айпи? >>конечно. > >а приведи вывод >iptables -L -vn Chain POSTROUTING 0 0 ACCEPT all -- * * 192.168.100.11 0.0.0.0/0 0 0 ACCEPT all -- * * 0.0.0.0/0 192.168.100.11 >iptables -t nat -L -vn Chain FORWARD 0 0 SNAT tcp -- * eth1 192.168.100.11 0.0.0.0/0 $REAL_IP
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	13. "RE: Проблемы с NAT"
	Сообщение от Firewalker on 19-Ноя-02, 11:17 (MSK)
	>Chain FORWARD >0 0 SNAT > tcp -- * >eth1 192.168.100.11 >0.0.0.0/0 $REAL_IP дык у тебя в POSTROUTING или FORWARD цепочке SNAT стоит? должен в POSTROUTING.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх

8. "RE: Проблемы с NAT"
Сообщение от Sampan on 15-Ноя-02, 01:19 (MSK)
>При настройке маскарадинга все бегает,всё пингуется. >iptables -t nat -A POSTROUTING -s $LOCAL -d $EXTERNAL >-j MASQUERADE >Но хотелось бы настроить NAT. >меняю на >iptables -t nat -A POSTROUTING -s $LOCAL -d $EXTERNAL >-j SNAT --to-source $REAL_IP >и начинаются проблемы.ничего не пингуется. Если при MASQUERADE все работает, а при SNAT нет - значит все правила фильтрации правильные и не меняй ни чего. > >где копать ? Режимы MASQUERADE и SNAT отличаются, в том числе, разными загружаемыми модулями. Вот здесь и копай.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	10. "RE: Проблемы с NAT"
	Сообщение от Oleg on 15-Ноя-02, 09:15 (MSK)
	>>При настройке маскарадинга все бегает,всё пингуется. >>iptables -t nat -A POSTROUTING -s $LOCAL -d $EXTERNAL >>-j MASQUERADE >>Но хотелось бы настроить NAT. >>меняю на >>iptables -t nat -A POSTROUTING -s $LOCAL -d $EXTERNAL >>-j SNAT --to-source $REAL_IP >>и начинаются проблемы.ничего не пингуется. >Если при MASQUERADE все работает, а при SNAT нет - значит все >правила фильтрации правильные и не меняй ни чего. >> >>где копать ? >Режимы MASQUERADE и SNAT отличаются, в том числе, разными загружаемыми модулями. Вот >здесь и копай. если при SNAT ставлю $REAL_IP равный IP внешнего интерфейса (что по сути равно MASQUERADE) то работает , выходит SNAT все таки работает.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	11. "RE: Проблемы с NAT"
	Сообщение от Sampan on 15-Ноя-02, 23:34 (MSK)
	> >если при SNAT ставлю $REAL_IP равный IP внешнего интерфейса >то работает , Интересно, а какой-же IP, кроме "равный IP внешнего интерфейса" ты ставил в правилах SNAT, когда не работало? Чего-то ты замутил! >(что по сути равно MASQUERADE) Не совсем верно. MASQUERADE и SNAT выполняют одну задачу, с одним отличием: MASQUERADE поддерживает динамическую смену "IP внешнего интерфейса" (например, dialup), а SNAT, без переконфигурирования и явного указания нового "IP внешнего интерфейса", - нет. Цена этого - ресурсы. По сему, без надобности, лучше MASQUERADE не употреблять.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	12. "RE: Проблемы с NAT"
	Сообщение от Oleg on 18-Ноя-02, 12:44 (MSK)
	>> >>если при SNAT ставлю $REAL_IP равный IP внешнего интерфейса >>то работает , >Интересно, а какой-же IP, кроме "равный IP внешнего интерфейса" ты ставил в >правилах SNAT, когда не работало? >Чего-то ты замутил! если у меня есть некоторый диапазон "честных" адресов , один из них я присваиваю внешнему интерфейсу , а остальные хочу присваивать машинам выходящим в мир.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх