electro_ Posted March 15, 2016 Posted March 15, 2016 Добрый день, ребята! Застрял на задаче. Нужно реализовать правило iptables Пустить подсеть абонента 172.0.0.0/20 мимо NAT до маршрутизации пакета на ip 91.0.0.0/32 На даный момент используется NAT iptables -t nat -A POSTROUTING -s 172.0.0.0/255.255.255.0 -j SNAT --to-source ВНЕШНИЙ АЙПИ iptables -t nat -A POSTROUTING -s 172.0.1.0/255.255.255.0 -j SNAT --to-source ВНЕШНИЙ АЙПИ iptables -t nat -A POSTROUTING -s 172.0.2.0/255.255.255.0 -j SNAT --to-source ВНЕШНИЙ АЙПИ iptables -t nat -A POSTROUTING -s 172.0.3.0/255.255.255.0 -j SNAT --to-source ВНЕШНИЙ АЙПИ iptables -t nat -A POSTROUTING -s 172.0.4.0/255.255.255.0 -j SNAT --to-source ВНЕШНИЙ АЙПИ iptables -t nat -A POSTROUTING -s 172.0.5.0/255.255.255.0 -j SNAT --to-source ВНЕШНИЙ АЙПИ iptables -t nat -A POSTROUTING -s 172.0.6.0/255.255.255.0 -j SNAT --to-source ВНЕШНИЙ АЙПИ iptables -t nat -A POSTROUTING -s 172.0.7.0/255.255.255.0 -j SNAT --to-source ВНЕШНИЙ АЙПИ Вставить ник Quote
NiTr0 Posted March 15, 2016 Posted March 15, 2016 заворот трафика в отдельную таблицу, в которой - сначала RETURN для указанных dst, а потом - собссно нат. Вставить ник Quote
electro_ Posted March 15, 2016 Author Posted March 15, 2016 заворот трафика в отдельную таблицу, в которой - сначала RETURN для указанных dst, а потом - собссно нат. А можно ли конкретное правило для этого примера ? Вставить ник Quote
ShumBor Posted March 15, 2016 Posted March 15, 2016 На этот хост не натить как я понял 91.0.0.0/32 Ну можно таким образом: iptables -t nat -A POSTROUTING -s 172.0.0.0/255.255.255.0 ! -d 91.0.0.0/32 -j SNAT --to-source ВНЕШНИЙ АЙПИ остальные строчки по аналогии Вставить ник Quote
electro_ Posted March 15, 2016 Author Posted March 15, 2016 На этот хост не натить как я понял 91.0.0.0/32 Ну можно таким образом: iptables -t nat -A POSTROUTING -s 172.0.0.0/255.255.255.0 ! -d 91.0.0.0/32 -j SNAT --to-source ВНЕШНИЙ АЙПИ остальные строчки по аналогии Чуть не так. Мне нужно что бы из подсети 172.0.0.0/255.255.255.0 перед НАТ открывался 91.0.0.0/32 типа локально до правил НАТ Вставить ник Quote
electro_ Posted March 15, 2016 Author Posted March 15, 2016 заворот трафика в отдельную таблицу, в которой - сначала RETURN для указанных dst, а потом - собссно нат. Чуть не так. Мне нужно что бы из подсети 172.0.0.0/255.255.255.0 перед НАТ открывался 91.0.0.0/32 типа локально до правил НАТ Вставить ник Quote
vop Posted March 15, 2016 Posted March 15, 2016 Я, например, ничего не понял. Надо что бы трафик на 91.0.0.0/32 не натился? Ну так помним, что netfilter в линуксе имеет процедурную форму, и, как уже говорилось, содается цепочка, в которой сначала отпускается все, что не надо натить, а потом натим. Впихивать весь список в корневую цепочку не совсем красиво. заворот трафика в отдельную таблицу, в которой - сначала RETURN для указанных dst, а потом - собссно нат. Чуть не так. Мне нужно что бы из подсети 172.0.0.0/255.255.255.0 перед НАТ открывался 91.0.0.0/32 типа локально до правил НАТ Куда "открывался"? Вставить ник Quote
electro_ Posted March 15, 2016 Author Posted March 15, 2016 Я, например, ничего не понял. Надо что бы трафик на 91.0.0.0/32 не натился? Ну так помним, что netfilter в линуксе имеет процедурную форму, и, как уже говорилось, содается цепочка, в которой сначала отпускается все, что не надо натить, а потом натим. Впихивать весь список в корневую цепочку не совсем красиво. заворот трафика в отдельную таблицу, в которой - сначала RETURN для указанных dst, а потом - собссно нат. Чуть не так. Мне нужно что бы из подсети 172.0.0.0/255.255.255.0 перед НАТ открывался 91.0.0.0/32 типа локально до правил НАТ Куда "открывался"? Есть ресурс https://91.196.xx.xx:9443 и мне нужно что бы он открывался локально из всей подсети 172.0.0.0/255.255.255.0 перед началом правил НАТ Вставить ник Quote
vop Posted March 15, 2016 Posted March 15, 2016 Есть ресурс https://91.196.xx.xx:9443 и мне нужно что бы он открывался локально из всей подсети 172.0.0.0/255.255.255.0 перед началом правил НАТ Как-то забавно вы описываете. Как он может открываться перед правилами, если он сам находится за правилами? :) В общем, вам не надо натить трафик из локальной сети в 91.196 на порт 9443. Вставить ник Quote
electro_ Posted March 15, 2016 Author Posted March 15, 2016 Этот ресурс располагается до ната или после? до ната. И оказывается все просто iptables -t nat -A POSTROUTING -s 172.15.0.0/20 -d нужный ресурс -j ACCEPT все остальное - тобишь весь интернет уже идет в нат адреса всем спасибо! вопрос закрыт Вставить ник Quote
vop Posted March 15, 2016 Posted March 15, 2016 всем спасибо! вопрос закрыт Он был закрыт в сообщении номер 2, а в сообщении номер 4 был закрыт крышкой. Хех... Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.