myth Posted February 6, 2017 · Report post Всем привет. Внедряю nfqfilter. А т.к маршрутизатор у нас один, то возник ряд вопросов... А именно - как быть с натом? Запросы на сервер с nfqfilter приходят с серых IP. NAT не работает. Возможно ли решить эту проблему без установки дополнительной железки или squid? С белыми IP разобрался, особо ничего сложного. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
taf_321 Posted February 6, 2017 · Report post странно, до перехода на extfilter тоже использовался nfqfilter на той же машине, что и НАТ: iptables -t raw -A PREROUTING -i INTERNAL -m set --match-set zapret4 dst -j NFQUEUE --queue-num 0 --queue-bypass iptables -t nat -A POSTROUTING -o IF_TO_PEER_ -j SNAT --to-source IP_NAT В сет zapret4 набивались адреса, которые наловились перловыми скриптами от автора nfqfilter, но можно и без них весь исзодящий заворачивать в фильтр, если позволяет можность системы. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myth Posted February 6, 2017 (edited) · Report post На той же машине то может и работает. А я хочу nfqfilter вынести на отдельный сервер И хотелось бы каким-то образом добавить серые ip так, чтоб они не маршрутизировались на фильтр Сейчас схема такая В eth1.2 BGP с фильтром. eth1.3 - идет в интернет. На NAS настроена вторая таблица маршрутизации ip route add default via шлюз аплинка table 10 ip rule add from белая подсеть/24 iif eth1.3 table 10 Белые сети работают нормально. В случае NAT случается такое icmp 1 26 src=внешний ip nat dst=46.101.61.171 type=8 code=0 id=62099 src=46.101.61.171 dst=внешний ip nat type=0 code=0 id=62099 mark=0 use=1 icmp 1 26 src=10.0.1.200 dst=46.101.61.171 type=8 code=0 id=62099 [uNREPLIED] src=46.101.61.171 dst=10.0.1.200 type=0 code=0 id=62099 mark=0 use=1 Если добавить ip rule add from 10.0.0.0/23 iif eth1.3 table 10 то начинают работать и серые, но без фильтрации. Если после этого сделать ip rule del from 10.0.0.0/23 table 10 То уже имеющиеся трансляции NAT начинают фильтроваться Возможно ли средствами Linux завернуть на фильтрацию только внешний ip nat? Edited February 6, 2017 by myth Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myth Posted February 6, 2017 · Report post Или единственным решением будет включить сервер с фильтром в разрыв? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
taf_321 Posted February 7, 2017 · Report post nfqfilter изначально заточен для работы "в разрыве" на той же машине. Приспасабливать его как-то иначе - только лишний гемор. Лучше над extfilter помедитируйте побольше. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myth Posted February 7, 2017 · Report post С нынешними ценами на i5 дороговато выходит... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...