Jump to content
Калькуляторы

Пустить подсеть мимо NAT iptables NAT

Reply to this topic

electro_   

electro_
Posted

Добрый день, ребята!

 

Застрял на задаче. Нужно реализовать правило iptables

 

Пустить подсеть абонента 172.0.0.0/20 мимо NAT до маршрутизации пакета на ip 91.0.0.0/32

 

На даный момент используется NAT

 

iptables -t nat -A POSTROUTING -s 172.0.0.0/255.255.255.0 -j SNAT --to-source ВНЕШНИЙ АЙПИ

iptables -t nat -A POSTROUTING -s 172.0.1.0/255.255.255.0 -j SNAT --to-source ВНЕШНИЙ АЙПИ

iptables -t nat -A POSTROUTING -s 172.0.2.0/255.255.255.0 -j SNAT --to-source ВНЕШНИЙ АЙПИ

iptables -t nat -A POSTROUTING -s 172.0.3.0/255.255.255.0 -j SNAT --to-source ВНЕШНИЙ АЙПИ

iptables -t nat -A POSTROUTING -s 172.0.4.0/255.255.255.0 -j SNAT --to-source ВНЕШНИЙ АЙПИ

iptables -t nat -A POSTROUTING -s 172.0.5.0/255.255.255.0 -j SNAT --to-source ВНЕШНИЙ АЙПИ

iptables -t nat -A POSTROUTING -s 172.0.6.0/255.255.255.0 -j SNAT --to-source ВНЕШНИЙ АЙПИ

iptables -t nat -A POSTROUTING -s 172.0.7.0/255.255.255.0 -j SNAT --to-source ВНЕШНИЙ АЙПИ

Share this post

Link to post
Share on other sites

electro_   

electro_
Posted

заворот трафика в отдельную таблицу, в которой - сначала RETURN для указанных dst, а потом - собссно нат.

 

А можно ли конкретное правило для этого примера ?

Share this post

Link to post
Share on other sites

ShumBor   

ShumBor
Posted

На этот хост не натить как я понял 91.0.0.0/32

Ну можно таким образом:

 

iptables -t nat -A POSTROUTING -s 172.0.0.0/255.255.255.0 ! -d 91.0.0.0/32 -j SNAT --to-source ВНЕШНИЙ АЙПИ

 

остальные строчки по аналогии

Share this post

Link to post
Share on other sites

electro_   

electro_
Posted

На этот хост не натить как я понял 91.0.0.0/32

Ну можно таким образом:

 

iptables -t nat -A POSTROUTING -s 172.0.0.0/255.255.255.0 ! -d 91.0.0.0/32 -j SNAT --to-source ВНЕШНИЙ АЙПИ

 

остальные строчки по аналогии

 

 

Чуть не так. Мне нужно что бы из подсети 172.0.0.0/255.255.255.0 перед НАТ открывался 91.0.0.0/32 типа локально до правил НАТ

Share this post

Link to post
Share on other sites

electro_   

electro_
Posted

заворот трафика в отдельную таблицу, в которой - сначала RETURN для указанных dst, а потом - собссно нат.

 

Чуть не так. Мне нужно что бы из подсети 172.0.0.0/255.255.255.0 перед НАТ открывался 91.0.0.0/32 типа локально до правил НАТ

Share this post

Link to post
Share on other sites

vop   

vop
Posted

Я, например, ничего не понял. Надо что бы трафик на 91.0.0.0/32 не натился? Ну так помним, что netfilter в линуксе имеет процедурную форму, и, как уже говорилось, содается цепочка, в которой сначала отпускается все, что не надо натить, а потом натим. Впихивать весь список в корневую цепочку не совсем красиво.

 

заворот трафика в отдельную таблицу, в которой - сначала RETURN для указанных dst, а потом - собссно нат.

 

Чуть не так. Мне нужно что бы из подсети 172.0.0.0/255.255.255.0 перед НАТ открывался 91.0.0.0/32 типа локально до правил НАТ

 

Куда "открывался"?

Share this post

Link to post
Share on other sites

electro_   

electro_
Posted

Я, например, ничего не понял. Надо что бы трафик на 91.0.0.0/32 не натился? Ну так помним, что netfilter в линуксе имеет процедурную форму, и, как уже говорилось, содается цепочка, в которой сначала отпускается все, что не надо натить, а потом натим. Впихивать весь список в корневую цепочку не совсем красиво.

 

заворот трафика в отдельную таблицу, в которой - сначала RETURN для указанных dst, а потом - собссно нат.

 

Чуть не так. Мне нужно что бы из подсети 172.0.0.0/255.255.255.0 перед НАТ открывался 91.0.0.0/32 типа локально до правил НАТ

 

Куда "открывался"?

 

 

Есть ресурс https://91.196.xx.xx:9443 и мне нужно что бы он открывался локально из всей подсети 172.0.0.0/255.255.255.0 перед началом правил НАТ

Share this post

Link to post
Share on other sites

vop   

vop
Posted

Есть ресурс https://91.196.xx.xx:9443 и мне нужно что бы он открывался локально из всей подсети 172.0.0.0/255.255.255.0 перед началом правил НАТ

 

Как-то забавно вы описываете. Как он может открываться перед правилами, если он сам находится за правилами? :) В общем, вам не надо натить трафик из локальной сети в 91.196 на порт 9443.

Share this post

Link to post
Share on other sites

electro_   

electro_
Posted

Этот ресурс располагается до ната или после?

 

до ната. И оказывается все просто iptables -t nat -A POSTROUTING -s 172.15.0.0/20 -d нужный ресурс -j ACCEPT

 

все остальное - тобишь весь интернет уже идет в нат адреса

 

всем спасибо! вопрос закрыт

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Программное обеспечение, биллинг и *unix системы