URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 66493
[ Назад ]

Исходное сообщение
"Вопрос по маршрутизации"
Отправлено NetScripter , 24-Май-06 10:54

Здравствуйте,
Иммется сследующая конфигурация сервера на Linux:
eth1: 222.111.0.2
eth0: 80.111.0.33
Оба адреса внешние.
Сеть 222.111.0.1 - 222.111.0.2 point-to-point сеть для доступа в инет, где 0.1 - шлюз ISP
Сеть 80.111.0.33 - 80.111.0.60 сеть машин с внешними IP, трафик этой сети необходимо учитывать
Трафик считается, проблем нет. Из интернета пингуеются машины 80.111.0.33-60, поскольку провайдер прописал что эта сеть находится за 222.111.0.2. Но проблема в том что исходящие соединения из 80.111.0.33-60 видны как 222.111.0.2, т.е. адрес шлюза, а это плохо.
В iptables:
$IPTABLES -t nat -A POSTROUTING -o eth1 -s $NETSTOP -j MASQUERADE
$IPTABLES -I FORWARD -s 80.111.0.0/24 -j ACCEPT
При отключении маскарадинга проподает почему то доступ в инет с этих машин.
Помогите разобраться, пожалуйста

Содержание

Вопрос по маршрутизации,waldo, 14:13 , 24-Май-06
- Вопрос по маршрутизации,NetScripter, 17:04 , 24-Май-06

Сообщения в этом обсуждении

"Вопрос по маршрутизации"
Отправлено waldo , 24-Май-06 14:13

>Здравствуйте,
>Иммется сследующая конфигурация сервера на Linux:
>eth1: 222.111.0.2
>eth0: 80.111.0.33
>
>Оба адреса внешние.
>
>Сеть 222.111.0.1 - 222.111.0.2 point-to-point сеть для доступа в инет, где 0.1
>- шлюз ISP
>Сеть 80.111.0.33 - 80.111.0.60 сеть машин с внешними IP, трафик этой сети
>необходимо учитывать
>Трафик считается, проблем нет. Из интернета пингуеются машины 80.111.0.33-60, поскольку провайдер прописал
>что эта сеть находится за 222.111.0.2. Но проблема в том что
>исходящие соединения из 80.111.0.33-60 видны как 222.111.0.2, т.е. адрес шлюза, а
>это плохо.
>В iptables:
>$IPTABLES -t nat -A POSTROUTING -o eth1 -s $NETSTOP -j MASQUERADE
>$IPTABLES -I FORWARD -s 80.111.0.0/24 -j ACCEPT
>При отключении маскарадинга проподает почему то доступ в инет с этих машин.
>
>
>Помогите разобраться, пожалуйста
MASQUERADE в каком либо виде нужен для того что бы провайдер не фильтровал трафик из чужой сети. С помощью iptables SNAT можно исходящему трафику присваивать несколько адресов по выбору но у вас он 1. В любом случае сеть 80.111.0.0/24 должна проходить через провайдера как 222.111.0.2. Можно попробовать договориться с провайдером что бы он пропускал трафик из второй сети через себя, или попросить дополнительные внешние адреса и все включить в одну сеть.

"Вопрос по маршрутизации"
Отправлено NetScripter , 24-Май-06 17:04

>MASQUERADE в каком либо виде нужен для того что бы провайдер не
>фильтровал трафик из чужой сети. С помощью iptables SNAT можно исходящему
>трафику присваивать несколько адресов по выбору но у вас он 1.
>В любом случае сеть 80.111.0.0/24 должна проходить через провайдера как 222.111.0.2.
>Можно попробовать договориться с провайдером что бы он пропускал трафик из
>второй сети через себя, или попросить дополнительные внешние адреса и все
>включить в одну сеть.
Вот и делалось как раз такой конфигурации сеть, чтобы было 2 сети, иначе трафик бы шел через шлюз провайдера, а не через мой. Раньше просто была сеть 80.111.0.0/24, но такой вариант не подходит, сети пришлось развести физически