Интернет через NAT напрямую. Howto

**napsterrrr** · 23.09.2007 23:20

Доброго времени суток. Существует такая проблема : есть машина в сети (клиент) и есть машина смотрящая в интернет с со статическим ip (inet server). Между ними 2 сервера. Я пингую inet server без проблем. На inet serverе открыт NAT под мой ай пи. (iptables -t nat -A POSTROUTING -s xxx.xxx.xxx.xxx(ipклиента) -j SNAT --to-source xxx.xxx.xxx.xxx(Внешний ip inet serverа))
Вопрос : как мне подключить интернет? Если прописать дефолт роут то как именно? И как это можно сделать как в виндовсе(Win xp sp2) так и в линуксе (Fedora core 5. (ВПН и прокси работают - хотелось бы решить именно эту проблему). Заранее всем спасибо.

**Tucha** · 24.09.2007 00:18

Linux:
route add default < ip ближайшего роутера >
или
ip route add default via < ip ближайшего роутера >
а можно добавить строчку в /etc/sysconfig/network
GATEWAY=< ip ближайшего роутера >
Windows:
route add 0.0.0.0 < ip ближайшего роутера >

**napsterrrr** · 24.09.2007 22:29

В винде точно не пашет. Может дело только в том что на обоих серверах по пути к инет серверу стоит простейший НАТ от iptables, а никакого аппаратного маршрутизатора не установлено ? Какие еще догадки? Возможно вы знаете какие-либо программы типа програмного маршрутизатора ?

**napsterrrr** · 24.09.2007 22:58

В федоре тоже не работает.

**Tucha** · 25.09.2007 07:22

тогда схему в студию + адреса интерфейсов

**napsterrrr** · 25.09.2007 13:31

Вот схема.

**napsterrrr** · 25.09.2007 23:52

Если надо подробнее - напишите как именно.

**demonas** · 26.09.2007 07:44

а чего же ты пишешь НАТ под свой ай-пи? если говоришь что по пути ещё 2 ната? до главного роутера явно не доходит ай-пи компьютера... надо натить что то другое

**Tucha** · 26.09.2007 10:08

И какие маршруты прописывал?
Если на 10.107.0.1 и 10.18.0.1 нет трансляции адресов и т.п.
То маршрут по-умолчанию у тебя должен быть на 10.107.0.1
Если не работает, делай трайсероут на mail.ru и выкладывай сюда.

**napsterrrr** · 26.09.2007 14:12

трансляция есть - я пингую 10.61.0.50, хожу через его прокси и через его ВПН. трейсроут щас выложу - трейсроут с подключением к впн и без него.

**napsterrrr** · 26.09.2007 14:16

demonas, если я начну натить 10.61.0.1 и 10.107.0.1 - вся подсеть попрется туда, я предполагаю так. Ну можно еще ввести ограничение по мак адресу, но как это делать для одного ай пи и для POSTROUTING SNAT только? Или есть еще способы,?

**Михаил Вандышев** · 26.09.2007 15:30

По-моему, при заданных условиях задача не имеет решения. Либо надо отказаться от NAT-ов на маршрутизаторах 10.107.0.1 и 10.18.0.1, чтобы до маршрутизатора 10.61.0.50 доходили пакеты с IP-адресом 10.107.1.19, либо довольствоваться тем что есть - VPN, прокси.

**napsterrrr** · 26.09.2007 20:11

Всем большое спасибо! Еще такой вопрос : почему прокси определяет что пакет шел именно от IP 10.107.1.19 - ведь он же проходит 2 НАТа а заголовок пакета меняется. Я разрешаю проски именно ай пи 10.107.1.19 а не еще в дополнение 10.107.0.1 и 10.18.0.1 ?

**Михаил Вандышев** · 26.09.2007 20:37

В таком случае, меня терзают смутные сомнения, насчёт существования NAT-ов на маршрутизаторах 10.107.0.1 и 10.18.0.1.

**Tucha** · 27.09.2007 10:02

Можно сделать тоннель от машины 10.107.1.19 до 10.61.0.50 и весь трафик интернет перенаправлять в него (http://www.opennet.ru/docs/RUS/LARTC/x418.html). Прийдется изменить правило в iptables на сервере 10.61.0.50. Можно еще пробовать сделать с помощью маршрутов. Есть ли default route на 10.18.0.1 и на 10.107.0.1, на какой роутер? А трайсероут через ВПН подключение давать не надо было и так ясно, что на ВПН сервер и дальше в интернет. Интересовал именно маршрут без ВПН.

**napsterrrr** · 27.09.2007 13:42

ROOTовский пароль на 10.61.0.50 есть. А что до 10.107.0.1 и 10.18.0.1 то они сервера с операционкой федора кор 5 или 6.

10.107.0.1 - ближайший шлюз - на него default route ставится по умолчанию.

Вопрос к Михаилу Вандышеву : как будет ити сигнал через шлюз из одной сетевой на другую без существования НАТа ? Возможно, что в таблице Mangle подправили заголовок пакета ?

**napsterrrr** · 27.09.2007 13:48

За IP tunnel спасибо. Это годится для работы с линуксом , а как быть с виндой ?

**Tucha** · 27.09.2007 14:15

Сообщение от napsterrrr

ROOTовский пароль на 10.61.0.50 есть. А что до 10.107.0.1 и 10.18.0.1 то они сервера с операционкой федора кор 5 или 6.

10.107.0.1 - ближайший шлюз - на него default route ставится по умолчанию.

Вопрос к Михаилу Вандышеву : как будет ити сигнал через шлюз из одной сетевой на другую без существования НАТа ? Возможно, что в таблице Mangle подправили заголовок пакета ?

Будет идти если на сервере есть форвардинг пакетов.
Для Федора Коре в файл /etc/sysctl.conf вписывается строка

# Controls IP packet forwarding
net.ipv4.ip_forward = 1

Затем дается команда
/sbin/sysctl -p
Которая считывает переменные из этого файла и устанавливает эти значения в ядре.

**Tucha** · 27.09.2007 14:20

Используется в принципе сеть 10.0.0.0/8 поэтому на двух "проходных" серверах:
1. 10.107.0.1 указать default route на 10.18.0.1
2. На 10.18.0.1 указать default route на 10.61.0.50

На Вашем компе соответственно 10.107.0.1

**Михаил Вандышев** · 27.09.2007 16:36

Сообщение от napsterrrr

Вопрос к Михаилу Вандышеву : как будет ити сигнал через шлюз из одной сетевой на другую без существования НАТа ?

Согласно таблице маршрутизации. При этом, адреса IP-пакетов не изменяются.

Если NAT-ов всё-таки нету, то вероятно, проблема кроется в том, что default route неправильно настроен на компьютерах 10.107.0.1 и 10.18.0.1 и тогда нужно воспользоваться последним советом Tucha.

У Вас есть доступ к 10.107.0.1 и 10.18.0.1? Что там выдаёт netstat -rn ?

Тема: Интернет через NAT напрямую. Howto

Опции темы

Интернет через NAT напрямую. Howto

forward

Похожие темы

Выход из ждущего режима из под NAT

Проблемы с NAT/linux или странности за NAT

help!!! Nat iptables...

1C : HOWTO

Социальные закладки

Социальные закладки

Ваши права