kid79 Posted October 18, 2017 Posted October 18, 2017 Народ, подскажите пожалуйста куда копать. споткнулся на ровном месте. нада сделать nat на пул адресов сейчас работает вот так -A POSTROUTING -m set --match-set allow_ip src -j SNAT --to-source 176.111.ххх.ххх хочу сделать nat на пул адресов добавляю адреса на lo 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo inet 176.111.248.227/32 scope global lo inet 176.111.248.228/32 scope global lo inet 176.111.248.229/32 scope global lo inet 176.111.248.230/32 scope global lo и в конце iptables -t nat -I POSTROUTING 1 -m set --match-set allow_ip src -j SNAT --to-source 176.111.248.226-176.111.248.230 --persistent дальше инет перестает работать. Вставить ник Quote
Antares Posted October 18, 2017 Posted October 18, 2017 9 минут назад, kid79 сказал: 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo inet 176.111.248.227/32 scope global lo inet 176.111.248.228/32 scope global lo inet 176.111.248.229/32 scope global lo inet 176.111.248.230/32 scope global lo Это лишнее, их не надо никуда добавлять Вставить ник Quote
kid79 Posted October 18, 2017 Author Posted October 18, 2017 убрал адреса с lo добавил просто нат на пул, пинг на внешку (к примеру 8.8.8.8.8)идет, а сайты не открываются ( Вставить ник Quote
stalker86 Posted October 18, 2017 Posted October 18, 2017 В порядке бреда..а на вышестоящем роутере у Вас прописано/разрешено пропускать трафик для данных IP в сторону NAT-сервера? А так.. tcpdump в руки Вставить ник Quote
kid79 Posted October 18, 2017 Author Posted October 18, 2017 на вышестоящей циске интерфейс interface GigabitEthernet0/9 description NAT Server no switchport ip address 176.111.248.225 255.255.255.248 никаких acl нет Вставить ник Quote
stalker86 Posted October 18, 2017 Posted October 18, 2017 а вышестоящая циска знает что 176.111.248.227 176.111.248.228 176.111.248.229 176.111.248.230 нужно заруливать на нат-сервер? Вставить ник Quote
kayot Posted October 18, 2017 Posted October 18, 2017 +1, на циске нужно указать маршрут этой подсети на NAT-сервер. Вставить ник Quote
kid79 Posted October 18, 2017 Author Posted October 18, 2017 ip route 176.111.248.224 255.255.255.248 Null0 ip route 176.111.248.224 255.255.255.248 GigabitEthernet0/9 176.111.248.226 указан вот так Вставить ник Quote
stalker86 Posted October 18, 2017 Posted October 18, 2017 У Вас каша с подсетями. 176.111.248.226 входит в 176.111.248.224 255.255.255.248 Вставить ник Quote
kid79 Posted October 18, 2017 Author Posted October 18, 2017 stalker86 спасибо. в принципе я и склонялся к этому, подсети так нарезаны были когда не было ната, был чистый пппое с реальными адресами, видимо придется переписать транспортную подсеть. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.