OpenForum RSS: Маскарадинг, Нат и серые адреса провайдера https://www.opennet.ru/openforum/vsluhforumID1/79145.html Помогите разрешить следующую проблему:<br>Имеем сервера(Linux, маршрутизаторы) в компании, назовем их сер1,сер2,сер3,сер4,сер5.<br>сер1..сер3 подключены к интернет в провайдеру А<br>сер4 провайдер Б<br>сер5 провайдер В<br>За каждым сервером корпоративный внутренний сегмент сети вида 10.2.серx.y<br>Все сервера отовсюду доступны по ssh,https,icmp и т.д. ... вернее были, суть вопроса:<br>Ваш покорный слуга, подключает себе кабельный интернет, через провайдера А, имею серый ип 10.2.4.х, интернет работает нормально, но не могу ни каким образом попасть на сервера в зоне провайдера А, в то время как с серверами сер4,сер5, проблем нет. Я могу попасть на сер1-сер3 через других провайдеров(dialup). Так в чем же дело?<br>Суппорт провайдера заверил меня в том, что маршрутизация работает нормально, и дело в "сером" интранетовском адресе, с которым я попадаю на внешний интерфейс серверов сер1..сер3. И т.к. у меня работает нат (маскарад) на сеть 10.2.х.у/24 сервер отклоняет соединия. Я пробовал во время соединия отключать фаервол (скриптом Маскарадинг, Нат и серые адреса провайдера (Эдуард) https://www.opennet.ru/openforum/vsluhforumID1/79145.html#12 Tue, 11 Mar 2008 16:44:01 GMT &gt;Очень на то похоже, ответные пакеты уходят на ppp1. <br>&gt;Попробуйте сделать <br>&gt;route add -host 10.2.4.34 dev ppp0 <br>&gt;и посмотреть что получится. <br><br>Спасибо за помощь!<br>Я удалил ветку vpn(ppp1) которая поднимала маршрут 10.2.4.0. После чего связь появилась.<br> Маскарадинг, Нат и серые адреса провайдера (angra) https://www.opennet.ru/openforum/vsluhforumID1/79145.html#11 Tue, 11 Mar 2008 15:05:51 GMT Очень на то похоже, ответные пакеты уходят на ppp1. <br>Попробуйте сделать <br>route add -host 10.2.4.34 dev ppp0<br>и посмотреть что получится. <br> Маскарадинг, Нат и серые адреса провайдера (Эдуард) https://www.opennet.ru/openforum/vsluhforumID1/79145.html#10 Tue, 11 Mar 2008 14:43:25 GMT &gt;а маскарадинг здесь причем? iptables это firewall+nat, но не как не роутер. <br>&gt;Покажите что выдает route на шлюзе и с каким адресом вы <br>&gt;до него добираетесь из intranet. <br><br># route<br>Kernel IP routing table<br>Destination Gateway Genmask Flags Metric Ref Use Iface<br>10.6.8.42 * 255.255.255.255 UH 0 0 0 ppp1<br>10.6.8.11 10.6.8.13 255.255.255.255 UGH 0 0 0 ppp1<br>10.6.8.25 10.6.8.13 255.255.255.255 UGH 0 0 0 ppp1<br>10.6.8.41 * 255.255.255.255 UH 0 0 0 ppp1<br>10.6.8.46 * 255.255.255.255 UH 0 0 0 ppp1<br>10.6.8.15 10.6.8.13 255.255.255.255 UGH 0 0 0 ppp1<br>10.6.8.47 * 255.255.255.255 UH 0 0 0 ppp1<br>10.6.8.14 10.6.8.13 255.255.255.255 UGH 0 0 0 ppp1<br>10.6.8.44 * 255.255.255.255 UH 0 0 0 ppp1<br>10.6.8.13 * 25 Маскарадинг, Нат и серые адреса провайдера (angra) https://www.opennet.ru/openforum/vsluhforumID1/79145.html#9 Tue, 11 Mar 2008 14:01:16 GMT а маскарадинг здесь причем? iptables это firewall+nat, но не как не роутер. Покажите что выдает route на шлюзе и с каким адресом вы до него добираетесь из intranet.<br> Маскарадинг, Нат и серые адреса провайдера (Эдуард) https://www.opennet.ru/openforum/vsluhforumID1/79145.html#8 Tue, 11 Mar 2008 13:32:10 GMT &gt;Отбрасывание внешних пакетов с интранетовскими адресами возможно через iptables, но чем это <br>&gt;вам поможет? <br>&gt;Наиболее очевидным было бы изменение адресов в локалке, но обычно это нелегко. <br>&gt;<br>&gt;Если интранетовский адрес статичен и такого же нет в локалке, то можно <br>&gt;изменить маршрут именно для этого адреса, точно также как он изменен <br>&gt;для шлюза провайдера. <br><br>Использую tcpdump выяснил, что пакеты из дома маршрутизируются до серверов с интранетовским сурсом -это факт. Но даже отключая маскарад сервер не отвечает, явных правил в Iptables я не нашел, может за это отвечает какой нибудь параметр в /proc.. или модуль?<br> Маскарадинг, Нат и серые адреса провайдера (angra) https://www.opennet.ru/openforum/vsluhforumID1/79145.html#7 Sun, 09 Mar 2008 15:32:45 GMT Отбрасывание внешних пакетов с интранетовскими адресами возможно через iptables, но чем это вам поможет?<br>Наиболее очевидным было бы изменение адресов в локалке, но обычно это нелегко. <br>Если интранетовский адрес статичен и такого же нет в локалке, то можно изменить маршрут именно для этого адреса, точно также как он изменен для шлюза провайдера. <br> Маскарадинг, Нат и серые адреса провайдера (Эдуард) https://www.opennet.ru/openforum/vsluhforumID1/79145.html#6 Sun, 09 Mar 2008 09:21:28 GMT &gt;Если я правильно понял, то проблема в маршрутизации. У вас IP из <br>&gt;той же сети, что и локалка за вашими шлюзами. В результате <br>&gt;пакеты приходят от вас с внешнего интерфейса, а уходят на внутренний, <br>&gt;то бишь в пустоту. Когда вы заходите от других провайдеров, то <br>&gt;проходите через их шлюзы, которые делают snat и в результате до <br>&gt;шлюзов компании пакет доходит с нормальным адресом источника, а не 10.x.x.x, <br>&gt;поэтому ответ также уходит на внешний интерфейс и в конечном итоге <br>&gt;доходит до вас. <br><br>Да, совершенно верно, но что делать в данной ситуации, кроме того, как перейте на тарифный план с внешним ip адресом? Есть ли опции в ядре, которая запрещает приход пакетов с внутренним сурсом (192.168.х.х 10.х.х.х и т.д.), ведь судя по всему отключая маскарадинг, связи все равно нет? И прав ли провайдер, не изменяя мой серый интранетовский адрес, для соединений внутри своей зоны, с узлами с белыми(внешними) ip адресами?<br> Маскарадинг, Нат (Oyyo) https://www.opennet.ru/openforum/vsluhforumID1/79145.html#5 Sat, 08 Mar 2008 07:02:33 GMT Какой интересный вопрос =) <br>&gt;[оверквотинг удален]<br>&gt;PING 127.0.0.1 (127.0.0.1) 56(84) bytes of data. <br>&gt;64 bytes from 127.0.0.1: icmp_seq=1 ttl=64 time=0.090 ms <br>&gt;<br>&gt;--- 127.0.0.1 ping statistics --- <br>&gt;1 packets transmitted, 1 received, 0% packet loss, time 0ms <br>&gt;rtt min/avg/max/mdev = 0.090/0.090/0.090/0.000 ms <br>&gt;$ <br>&gt;То же самое и на другом сервере. <br>&gt;Но не могу подключиться с одного сервера к папкам другого. <br>&gt;Объясните это явление, пожалуйста!"" <br><br>вот только пингуем сами себя<br>из чего видно, что сервера видят друг друга???<br><br> Маскарадинг, Нат (konst) https://www.opennet.ru/openforum/vsluhforumID1/79145.html#4 Fri, 07 Mar 2008 22:48:01 GMT &gt;[оверквотинг удален]<br>&gt;PING 127.0.0.1 (127.0.0.1) 56(84) bytes of data. <br>&gt;64 bytes from 127.0.0.1: icmp_seq=1 ttl=64 time=0.090 ms <br>&gt;<br>&gt;--- 127.0.0.1 ping statistics --- <br>&gt;1 packets transmitted, 1 received, 0% packet loss, time 0ms <br>&gt;rtt min/avg/max/mdev = 0.090/0.090/0.090/0.000 ms <br>&gt;$ <br>&gt;То же самое и на другом сервере. <br>&gt;Но не могу подключиться с одного сервера к папкам другого. <br>&gt;Объясните это явление, пожалуйста!"" <br><br>Все это смешно. "+"., но умный человек (не просто мозг, а сепермозг) должен попробовать <br> понять из приведенного текста суть проблемы. И при этом ПОНЯТЬ...<br><br>Я, лично, тоже не понял. Но вместо того, чтобы пугать человеков непонятными буковками (ping -c1), попытаюсь дать исчерпывающий ответ.<br><br>Сделайте: route add -host &lt;host&gt; gw &lt;gw&gt;<br>Где &lt;host&gt; IP того сервера, куда Вы хотите достучаться, а &lt;gw&gt; - тот шлюз (IP), через который Вы сможете это сделать...<br><br>