форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Информационная безопасность (Linux iptables, ipchains / Linux)
Изначальное сообщение		[ Отслеживать ]

"PREROUTING and real ip's"	+/–
Сообщение от fire002 (ok) on 10-Дек-12, 22:07
Собственно, есть 2 тазика в разных ДЦ (между тазиками пинг 1-2мс). На тазике 2 (дц2) крутиться сервис, которому важен минимальный пинг от пользователя. Но у некоторых пользователей пинг до разных ДЦ разный, например до ДЦ1 - пинг 10, до ДЦ2 - 40. Собственно, сделал такую схему: iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 123 -j DNAT --to 11.22.33.44:123 Чтобы некоторые юзеры, могли ходить к сервису через ДЦ1 с маленьким пингом. Все работает, все ок. Но есть 1 момент, а именно, при заходе юзера через ДЦ1, у него будет IP тазика в ДЦ1. Собственно задача показывать реальные ипы юзеров при заходе через ДЦ1. Пробовал snat, но похоже я криворук и у меня не вышло. Подскажите правила.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "PREROUTING and real ip's"	+/–
Сообщение от PavelR (ok) on 10-Дек-12, 22:26
>[оверквотинг удален] > - пинг 10, до ДЦ2 - 40. > Собственно, сделал такую схему: > iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 123 -j > DNAT --to 11.22.33.44:123 > Чтобы некоторые юзеры, могли ходить к сервису через ДЦ1 с маленьким пингом. > Все работает, все ок. Но есть 1 момент, а именно, при заходе > юзера через ДЦ1, у него будет IP тазика в ДЦ1. Собственно > задача показывать реальные ипы юзеров при заходе через ДЦ1. > Пробовал snat, но похоже я криворук и у меня не вышло. > Подскажите правила. поднимай туннель между серваками. openvpn/gre/ipip - по вкусу.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "PREROUTING and real ip's"	–1 +/–
	Сообщение от name (??) on 11-Дек-12, 18:40
	> поднимай туннель между серваками. > openvpn/gre/ipip - по вкусу. если не хочешь заморачиваться с тоннелями, то на дц2 делаешь нат не твой рабочий порт дц1, а на служебный например дц1:66666. на дц1, пакеты идущие на порт 66666 маркируешь и отправляешь на твой служебный порт 123. ответы отправляешь обратно на дц2, а там через SNAT кидаешь уже клиенту. фигня какая-то получилась, но как-то так
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "PREROUTING and real ip's"	+/–
	Сообщение от anonymous (??) on 11-Дек-12, 19:38
	>[оверквотинг удален] >> iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 123 -j >> DNAT --to 11.22.33.44:123 >> Чтобы некоторые юзеры, могли ходить к сервису через ДЦ1 с маленьким пингом. >> Все работает, все ок. Но есть 1 момент, а именно, при заходе >> юзера через ДЦ1, у него будет IP тазика в ДЦ1. Собственно >> задача показывать реальные ипы юзеров при заходе через ДЦ1. >> Пробовал snat, но похоже я криворук и у меня не вышло. >> Подскажите правила. > поднимай туннель между серваками. > openvpn/gre/ipip - по вкусу. Правильно Вам подсказывают, туннель + маршрутизация более удачное решение, нежели трансляция адресов.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	4. "PREROUTING and real ip's"	–1 +/–
	Сообщение от fire002 (ok) on 12-Дек-12, 01:03
	> Правильно Вам подсказывают, туннель + маршрутизация более удачное решение, нежели трансляция > адресов. Туннель немного не подходит, ибо на ипах уже есть сервисы, нужно именно по определенным портам.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "PREROUTING and real ip's"	+/–
	Сообщение от anonymous (??) on 12-Дек-12, 11:47
	>> Правильно Вам подсказывают, туннель + маршрутизация более удачное решение, нежели трансляция >> адресов. > Туннель немного не подходит, ибо на ипах уже есть сервисы, нужно именно > по определенным портам. Ну так как раз чтобы был доступ к этим сервисам на этих IP, Вам и нужна маршрутизация. Переносить сервисы на иные IP не придется.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "PREROUTING and real ip's"	+/–
Сообщение от LSTemp (ok) on 03-Фев-13, 05:10
>[оверквотинг удален] > - пинг 10, до ДЦ2 - 40. > Собственно, сделал такую схему: > iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 123 -j > DNAT --to 11.22.33.44:123 > Чтобы некоторые юзеры, могли ходить к сервису через ДЦ1 с маленьким пингом. > Все работает, все ок. Но есть 1 момент, а именно, при заходе > юзера через ДЦ1, у него будет IP тазика в ДЦ1. Собственно > задача показывать реальные ипы юзеров при заходе через ДЦ1. > Пробовал snat, но похоже я криворук и у меня не вышло. > Подскажите правила. 1) при DNAT ИП источника подменяется адресом сервера, который DNAT делал. так что тут никаких вариантов решения нет 2) смотреть в сторону раздельных таблиц маршрутизации iproute2 etc 3) смотреть в сторону тунелей
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	7. "PREROUTING and real ip's"	+/–
	Сообщение от Andrey Mitrofanov on 04-Фев-13, 11:19
	> при DNAT ИП источника подменяется При DNAT заменяется dest.ip пакета. Не "ИП источника", а адрес _назначения, то есть.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	8. "PREROUTING and real ip's"	+/–
	Сообщение от LSTemp (ok) on 05-Фев-13, 06:24
	>> при DNAT ИП источника подменяется > При DNAT заменяется dest.ip пакета. Не "ИП источника", а адрес _назначения, то > есть. все верно. каюсь) - отвлекся на другую задачу и глупость сморозил.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема