Jump to content

Настройка PBR+NAT

myth
 Share

Recommended Posts

myth

myth

Posted
Posted

Всем привет. Внедряю nfqfilter. А т.к маршрутизатор у нас один, то возник ряд вопросов... А именно - как быть с натом? Запросы на сервер с nfqfilter приходят с серых IP. NAT не работает. Возможно ли решить эту проблему без установки дополнительной железки или squid? С белыми IP разобрался, особо ничего сложного.

taf_321

taf_321

Posted
Posted

странно, до перехода на extfilter тоже использовался nfqfilter на той же машине, что и НАТ:

 

iptables -t raw -A PREROUTING -i INTERNAL -m set --match-set zapret4 dst -j NFQUEUE --queue-num 0 --queue-bypass
iptables -t nat -A POSTROUTING -o IF_TO_PEER_  -j SNAT --to-source IP_NAT

 

В сет zapret4 набивались адреса, которые наловились перловыми скриптами от автора nfqfilter, но можно и без них весь исзодящий заворачивать в фильтр, если позволяет можность системы.

myth

myth

Posted
  • Author
Posted (edited)

На той же машине то может и работает. А я хочу nfqfilter вынести на отдельный сервер

 

И хотелось бы каким-то образом добавить серые ip так, чтоб они не маршрутизировались на фильтр

 

Сейчас схема такая

В eth1.2 BGP с фильтром.

eth1.3 - идет в интернет.

На NAS настроена вторая таблица маршрутизации

ip route add default via шлюз аплинка table 10
ip rule add from белая подсеть/24 iif eth1.3 table 10

 

Белые сети работают нормально.

В случае NAT случается такое

icmp     1 26 src=внешний ip nat dst=46.101.61.171 type=8 code=0 id=62099 src=46.101.61.171 dst=внешний ip nat type=0 code=0 id=62099 mark=0 use=1
icmp     1 26 src=10.0.1.200 dst=46.101.61.171 type=8 code=0 id=62099 [uNREPLIED] src=46.101.61.171 dst=10.0.1.200 type=0 code=0 id=62099 mark=0 use=1

Если добавить

ip rule add from 10.0.0.0/23 iif eth1.3 table 10

то начинают работать и серые, но без фильтрации.

Если после этого сделать

ip rule del from 10.0.0.0/23  table 10

То уже имеющиеся трансляции NAT начинают фильтроваться

 

Возможно ли средствами Linux завернуть на фильтрацию только внешний ip nat?

Безымянный.png

Edited by myth
taf_321

taf_321

Posted
Posted

nfqfilter изначально заточен для работы "в разрыве" на той же машине. Приспасабливать его как-то иначе - только лишний гемор. Лучше над extfilter помедитируйте побольше.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.