Jump to content
Калькуляторы

Настройка PBR+NAT

Reply to this topic

myth   

myth
Posted

Всем привет. Внедряю nfqfilter. А т.к маршрутизатор у нас один, то возник ряд вопросов... А именно - как быть с натом? Запросы на сервер с nfqfilter приходят с серых IP. NAT не работает. Возможно ли решить эту проблему без установки дополнительной железки или squid? С белыми IP разобрался, особо ничего сложного.

Share this post

Link to post
Share on other sites

taf_321   

taf_321
Posted

странно, до перехода на extfilter тоже использовался nfqfilter на той же машине, что и НАТ:

 

iptables -t raw -A PREROUTING -i INTERNAL -m set --match-set zapret4 dst -j NFQUEUE --queue-num 0 --queue-bypass
iptables -t nat -A POSTROUTING -o IF_TO_PEER_  -j SNAT --to-source IP_NAT

 

В сет zapret4 набивались адреса, которые наловились перловыми скриптами от автора nfqfilter, но можно и без них весь исзодящий заворачивать в фильтр, если позволяет можность системы.

Share this post

Link to post
Share on other sites

myth   

myth
Posted (edited)

На той же машине то может и работает. А я хочу nfqfilter вынести на отдельный сервер

 

И хотелось бы каким-то образом добавить серые ip так, чтоб они не маршрутизировались на фильтр

 

Сейчас схема такая

В eth1.2 BGP с фильтром.

eth1.3 - идет в интернет.

На NAS настроена вторая таблица маршрутизации

ip route add default via шлюз аплинка table 10
ip rule add from белая подсеть/24 iif eth1.3 table 10

 

Белые сети работают нормально.

В случае NAT случается такое

icmp     1 26 src=внешний ip nat dst=46.101.61.171 type=8 code=0 id=62099 src=46.101.61.171 dst=внешний ip nat type=0 code=0 id=62099 mark=0 use=1
icmp     1 26 src=10.0.1.200 dst=46.101.61.171 type=8 code=0 id=62099 [uNREPLIED] src=46.101.61.171 dst=10.0.1.200 type=0 code=0 id=62099 mark=0 use=1

Если добавить

ip rule add from 10.0.0.0/23 iif eth1.3 table 10

то начинают работать и серые, но без фильтрации.

Если после этого сделать

ip rule del from 10.0.0.0/23  table 10

То уже имеющиеся трансляции NAT начинают фильтроваться

 

Возможно ли средствами Linux завернуть на фильтрацию только внешний ip nat?

Безымянный.png

Edited by myth

Share this post

Link to post
Share on other sites

taf_321   

taf_321
Posted

nfqfilter изначально заточен для работы "в разрыве" на той же машине. Приспасабливать его как-то иначе - только лишний гемор. Лучше над extfilter помедитируйте побольше.

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Программное обеспечение, биллинг и *unix системы