https://www.opennet.ru/openforum/vsluhforumID1/89492.html Добрый день!<br><br>Подскажите, п-та, можно ли при использовании NAT указывать source IP адрес отличный от того, что сконфигурирован на сетевом интерфейсе NAT сервера?<br><br>вот пример. Есть внутренняя сеть (локалка) 192.168.1.0/24, есть сервер с выходом в Интернет в этой локалке.<br>На сервере сконфигурирован интерфейс eth0 с адресом 1.1.1.1. Шлюз - 1.1.1.2.<br>Вторым интерфейсом сервер смотрит в локалку.<br><br>Я настроил NAT, чтобы клиенты из локалки ходили в Интернет. Все работает отлично. Клиенты из локалки ходят в Интернет с source адресом 1.1.1.1.<br><br>Кроме 1.1.1.1 мне доступен адрес 1.1.1.10.<br><br>Могу я настроить NAT так, чтобы source IP у клиентов был 1.1.1.10 (а не 1.1.1.1)?<br><br>Пакеты маршрутизируются на NAT сервере с помошью <br>iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE<br><br>Спасибо<br> https://www.opennet.ru/openforum/vsluhforumID1/89492.html#6 Tue, 03 Aug 2010 17:51:37 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;Спасибо <br>&gt;&gt;<br>&gt;&gt;я так не извращался. вы пробовали запускать tcpdump на интерфейсе с nat, <br>&gt;&gt;действительно ли пакеты не уходят, может все таки шлюз не знает <br>&gt;&gt;куда ответы слать? <br>&gt;<br>&gt;Посмотрю сейчас. Но скорее всего шлюз работает нормально. Если я адрес, что <br>&gt;указываю в ключе --to-source, устанавливаю на интерфейс сервера - все работает. <br>&gt;(т.е сервер нормально "ходит" в Интернет, я могу на этот IP <br>&gt;зайти через SSH) <br><br>вы не путайте. когда вы указываете ip на интерфейсе, то в процессе работы в arp таблице шлюза будет этот адрес и шлюз будет знать куда слать пакеты, а если на интерфейсе этого адреса нет, то шлюз и не знает у кого этот адрес. <br><br>&gt;<br>&gt;Может вообще пакеты не уходят после POSTROUTING, либо сервер нормально не воспринимает <br>&gt;входящие пакеты (ответы). В них ведь destination IP указан не тот, <br>&gt;что прописан для eth0). <br>&gt;Может дропаются просто. <br>&gt;<br>&gt;Спасибо <br><br>в общем проверил то что вы хотите, в --to-source можно указать адрес не прописанный на интерфейсе, но https://www.opennet.ru/openforum/vsluhforumID1/89492.html#5 Tue, 03 Aug 2010 15:57:28 GMT &gt;Может вообще пакеты не уходят после POSTROUTING, либо сервер нормально не воспринимает <br>&gt;входящие пакеты (ответы). В них ведь destination IP указан не тот, <br>&gt;что прописан для eth0). <br><br>Когда на интерфейсе прописаны несколько алиасов то SNAT отлично работает с них со всех, проверялось и не один раз.<br> https://www.opennet.ru/openforum/vsluhforumID1/89492.html#4 Tue, 03 Aug 2010 12:14:42 GMT &gt;[оверквотинг удален]<br>&gt;&gt;<br>&gt;&gt;Когда я пишу на сокетах, я могу подставить произвольный source адрес. Главное, <br>&gt;&gt;чтобы вышестоящий маршрутизатор его проанонсил. И этот адрес может не быть <br>&gt;&gt;сконфигурированным на интерфейсе. <br>&gt;&gt;<br>&gt;&gt;Спасибо <br>&gt;<br>&gt;я так не извращался. вы пробовали запускать tcpdump на интерфейсе с nat, <br>&gt;действительно ли пакеты не уходят, может все таки шлюз не знает <br>&gt;куда ответы слать? <br><br>Посмотрю сейчас. Но скорее всего шлюз работает нормально. Если я адрес, что указываю в ключе --to-source, устанавливаю на интерфейс сервера - все работает. (т.е сервер нормально "ходит" в Интернет, я могу на этот IP зайти через SSH)<br><br>Может вообще пакеты не уходят после POSTROUTING, либо сервер нормально не воспринимает входящие пакеты (ответы). В них ведь destination IP указан не тот, что прописан для eth0).<br>Может дропаются просто.<br><br>Спасибо<br><br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/89492.html#3 Tue, 03 Aug 2010 11:44:12 GMT &gt;[оверквотинг удален]<br>&gt;от адреса сервера с NAT - форвардинг не работает. <br>&gt;<br>&gt;А есть ли возможность задавать другой source ip? (из той же подсети) <br>&gt;И не конфигурировать его на интерфейсе? <br>&gt;<br>&gt;Когда я пишу на сокетах, я могу подставить произвольный source адрес. Главное, <br>&gt;чтобы вышестоящий маршрутизатор его проанонсил. И этот адрес может не быть <br>&gt;сконфигурированным на интерфейсе. <br>&gt;<br>&gt;Спасибо <br><br>я так не извращался. вы пробовали запускать tcpdump на интерфейсе с nat, действительно ли пакеты не уходят, может все таки шлюз не знает куда ответы слать?<br> https://www.opennet.ru/openforum/vsluhforumID1/89492.html#2 Tue, 03 Aug 2010 09:59:59 GMT &gt;http://www.opennet.ru/docs/RUS/iptables/#SNATTARGET <br><br>Спасибо, SNAT работает. Но это не совсем то.<br>У меня получилось изменять source ip (ключ --to-source) только на тот адрес, который сконфигурирован на интерфейсе. Если я ставлю --to-source в значение, отличное от адреса сервера с NAT - форвардинг не работает.<br><br>А есть ли возможность задавать другой source ip? (из той же подсети) И не конфигурировать его на интерфейсе? <br><br>Когда я пишу на сокетах, я могу подставить произвольный source адрес. Главное, чтобы вышестоящий маршрутизатор его проанонсил. И этот адрес может не быть сконфигурированным на интерфейсе.<br><br>Спасибо<br><br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/89492.html#1 Mon, 02 Aug 2010 10:52:27 GMT http://www.opennet.ru/docs/RUS/iptables/#SNATTARGET<br>