[Comm] iptables и SNAT

[Comm] iptables и SNAT

[Владимир Гусев]

Здравствуйте!

Подскажите, в чем разница между двумя нижеперечисленными возможными  
вариантами "поднятия" NAT при помощи iptables?

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --out-source  
"внешний ip шлюза"
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --out-source "внешний ip  
шлюза" (где eth0 - внешний сет. интерфейс шлюза)

Дело в том, что в простейшем варианте шлюза на Linux вариант с -o eth0 не  
работает (клиенты теряют доступ в Интернет)... В последний раз (очистив  
при помощи iptables -F POSTROUTING и для верности удалил все из  
/etc/sysconfig/iptables и перегрузив сервис service iptables resart)  
применил так:

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT  
--out-source "внешний ip шлюза",
т.е. объединив оба эти варианта.. итоги записал при помощи команды  
iptables-save...

SNAT использовал по причине статического внешнего IP для шлюза...

-- 
С уважением, Владимир Гусев

Re: [Comm] iptables и SNAT

[Mike Lykov]

В сообщении от Вторник 22 Март 2005 21:33 Владимир Гусев написал:

> iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --out-source
> "внешний ip шлюза"
> Дело в том, что в простейшем варианте шлюза на Linux вариант с -o eth0 не
> работает (клиенты теряют доступ в Интернет)...

может, потому что правильная опция --to-source ?

-- 
Mike Lykov
Samara, "Vesna" parfum company, System administrator 

Re: [Comm] iptables и SNAT

[Владимир Гусев]

On Wed, 23 Mar 2005 07:29:21 +0300, Mike Lykov <combr@vesna.ru> wrote:

> В сообщении от Вторник 22 Март 2005 21:33 Владимир Гусев написал:
>
>> iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --out-source
>> "внешний ip шлюза"
>> Дело в том, что в простейшем варианте шлюза на Linux вариант с -o eth0  
>> не
>> работает (клиенты теряют доступ в Интернет)...
>
> может, потому что правильная опция --to-source ?
>

Не суть... писал по памяти уже дома - естественно в обоих случаях  
--to-source... Вопрос в сравнении параметров    -s 192.168.1.0/24 и -o  
eth0, а также в их возможном совместном применении..

-- 
С уважением, Владимир Гусев

Re: [Comm] iptables и SNAT

[Afanasov Dmitry]

[-- Attachment #1: Type: text/plain, Size: 498 bytes --]

On Tue, Mar 22, 2005 at 08:33:11PM +0300, Владимир Гусев wrote:
> iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --out-source  
> "внешний ip шлюза"
> iptables -t nat -A POSTROUTING -o eth0 -j SNAT --out-source "внешний ip  
> шлюза" (где eth0 - внешний сет. интерфейс шлюза)
эти две записи делают одно и то же, если сетевушки две.
если одна одна, тогда ему придётся натить весь исходящий трафик.

у меня прекрасно работает с одним -o eth0
-- 
 С уважением,
 Афанасов Дмитрий

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] iptables и SNAT

[Mike Lykov]

В сообщении от Среда 23 Март 2005 09:19 Владимир Гусев написал:
> > может, потому что правильная опция --to-source ?
> Не суть... писал по памяти уже дома - естественно в обоих случаях
> --to-source... Вопрос в сравнении параметров    -s 192.168.1.0/24 и -o
> eth0, а также в их возможном совместном применении..

eth0 - это интерфейс, сетевая карта. через него может ходить траффик на 
совершенно различные адреса.
-s подсеть ограничивает диапазон адресов, не привязываясь к конкретной серевой 
карте.

-- 
Mike Lykov
Samara, "Vesna" parfum company, System administrator 

Re: [Comm] iptables и SNAT

[Владимир Гусев]

On Wed, 23 Mar 2005 09:03:21 +0300, Afanasov Dmitry <ender@atrus.ru> wrote:

> On Tue, Mar 22, 2005 at 08:33:11PM +0300, Владимир Гусев wrote:
>> iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --out-source
>> "внешний ip шлюза"
>> iptables -t nat -A POSTROUTING -o eth0 -j SNAT --out-source "внешний ip
>> шлюза" (где eth0 - внешний сет. интерфейс шлюза)
> эти две записи делают одно и то же, если сетевушки две.
> если одна одна, тогда ему придётся натить весь исходящий трафик.
>
> у меня прекрасно работает с одним -o eth0

Еще раз - компьютер в роли шлюза с двумя сетевыми картами... eth0 смотрит наружу, eth1 во внутрь, в локальную сетку.. если оставить только -o eth0 , тогда ничего не работает, точнее, у клиентов в локальной сети нет доступа в Интернет.. если поменять -o eth0 на -s 192.168.1.0/24, тогда все работает..
В большинстве просмотренных руководств по iptables для SNAT указывают параметр -o eth0, второй параметр встречается реже..
Я применил их вместе - насколько это правильно?


-- 
С уважением, Владимир Гусев

Re: [Comm] iptables и SNAT

[iLL]

On Wed, 23 Mar 2005 10:48:49 +0300
Владимир Гусев <vova1971@narod.ru> wrote:

> On Wed, 23 Mar 2005 09:03:21 +0300, Afanasov Dmitry <ender@atrus.ru>
> wrote:
> 
> > On Tue, Mar 22, 2005 at 08:33:11PM +0300, Владимир Гусев wrote:
> >> iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT
> >--out-source > "внешний ip шлюза"
> >> iptables -t nat -A POSTROUTING -o eth0 -j SNAT --out-source
> >"внешний ip > шлюза" (где eth0 - внешний сет. интерфейс шлюза)
> > эти две записи делают одно и то же, если сетевушки две.
> > если одна одна, тогда ему придётся натить весь исходящий трафик.
> >
> > у меня прекрасно работает с одним -o eth0
> 
> Еще раз - компьютер в роли шлюза с двумя сетевыми картами... eth0
> смотрит наружу, eth1 во внутрь, в локальную сетку.. если оставить
> только -o eth0 , тогда ничего не работает, точнее, у клиентов в
> локальной сети нет доступа в Интернет.. если поменять -o eth0 на -s
> 192.168.1.0/24, тогда все работает.. В большинстве просмотренных
> руководств по iptables для SNAT указывают параметр -o eth0, второй
> параметр встречается реже.. Я применил их вместе - насколько это
> правильно?
У меня 100% работает так:
iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source
внешний_адрес_сервера -s внутренний_адрес_клиента
Где eth1 у меня внешний интерфейс.
И именно в таком порядке, как я написал.
Однажды я вроде заметил позиционнозависимость, но за неимением времени
не экспериментировал.
Попробуйте подвигать -j SNAT перед (-s адрес) после (-s адрес).
> 
> 
> -- 
> С уважением, Владимир Гусев

-- 
===-iLya Bryzgalow aka iLL-=== _/ _/     _/
Astronomy_Linux_Krasnodar_Russia _/     _/
Linux User #301257           _/ _/     _/
ICQ:43835329                _/ _/     _/
JID://ill@jabber.org       _/ _/     _/
http://astrokuban.info/   _/ _/     _/
                         _/ _/_/_/ _/_/_/
i don't smoke and wish you the same!
kernel-2.6.11-std26-smp-alt5 ALT Linux Sisyphus (20050313)

Re: [Comm] iptables и SNAT

[Andriy Dobrovol's'kii]

iLL wrote:
> Попробуйте подвигать -j SNAT перед (-s адрес) после (-s адрес).
> 
>>
>>-- 
>>С уважением, Владимир Гусев
> 
> 
Мужики, пишите в соответствии с доками. Всё работает как там 
указано. На более чем одной машине. Если проблемы есть, то они 
вызваны чем-то другим.
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   265-7824            Department of Gas Electronics
Fax:   (380-44)   265-2329             Institute of Physics of NASU
*********************************************************************

Re: [Comm] iptables и SNAT

[Владимир Гусев]

On Wed, 23 Mar 2005 09:03:21 +0300, Afanasov Dmitry <ender@atrus.ru> wrote:

> On Tue, Mar 22, 2005 at 08:33:11PM +0300, Владимир Гусев wrote:
>> iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --out-source
>> "внешний ip шлюза"
>> iptables -t nat -A POSTROUTING -o eth0 -j SNAT --out-source "внешний ip
>> шлюза" (где eth0 - внешний сет. интерфейс шлюза)
> эти две записи делают одно и то же, если сетевушки две.
> если одна одна, тогда ему придётся натить весь исходящий трафик.
>
> у меня прекрасно работает с одним -o eth0

Еще вопрос вдогонку по этой цепочке - что нужно тут добавить/изменить, чтобы в инете любой пользователь из сети виделся бы не только с внешним IP шлюза, но и с внутренним его адресом?
.. А то некоторые программы (например, SIM) могут видеть оба адреса пользователя в сети, причем второй адрес не внутренний шлюзовый, а свой внутренний...
Например, внешний адрес шлюза - 62.111.1.125, внутренний - 192.168.1.100.
Раньше, когда в незапамятные времена на шлюзе стоял ISA Server, то было именно так - у любого пользователя оба IP виделись как 62.111.1.125/192.168.1.100... сейчас 62.111.1.125/пользоват. IP


-- 
С уважением, Владимир Гусев

Re: [Comm] iptables и SNAT

[Максим Ткаченко]

[-- Attachment #1: Type: text/plain, Size: 711 bytes --]

В сообщении от 23 Март 2005 19:41 Владимир Гусев написал(a):
> Еще вопрос вдогонку по этой цепочке - что нужно тут добавить/изменить,
> чтобы в инете любой пользователь из сети виделся бы не только с внешним IP
> шлюза, но и с внутренним его адресом? .. А то некоторые программы
> (например, SIM) могут видеть оба адреса пользователя в сети, причем второй
> адрес не внутренний шлюзовый, а свой внутренний... Например, внешний адрес
> шлюза - 62.111.1.125, внутренний - 192.168.1.100. Раньше, когда в
> незапамятные времена на шлюзе стоял ISA Server, то было именно так - у
> любого пользователя оба IP виделись как 62.111.1.125/192.168.1.100...
> сейчас 62.111.1.125/пользоват. IP
наверно использовать прокси?

[-- Attachment #2: signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] iptables и SNAT

[Владимир Гусев]

>> Еще вопрос вдогонку по этой цепочке - что нужно тут добавить/изменить,
>> чтобы в инете любой пользователь из сети виделся бы не только с внешним  
>> IP
>> шлюза, но и с внутренним его адресом? .. А то некоторые программы
>> (например, SIM) могут видеть оба адреса пользователя в сети, причем  
>> второй
>> адрес не внутренний шлюзовый, а свой внутренний... Например, внешний  
>> адрес
>> шлюза - 62.111.1.125, внутренний - 192.168.1.100. Раньше, когда в
>> незапамятные времена на шлюзе стоял ISA Server, то было именно так - у
>> любого пользователя оба IP виделись как 62.111.1.125/192.168.1.100...
>> сейчас 62.111.1.125/пользоват. IP
> наверно использовать прокси?

Хм.. значит средствами NAT только внешний адрес светим? А я думал, что  
можно оба адреса шлюза... Да, наверное прокси..

-- 
С уважением, Владимир Гусев

Re: [Comm] iptables и SNAT - КАК КОРРЕКТНО СОХРАНИТЬ СОЗДАННЫЕ ФИЛЬТРЫ И ПРАВИЛА

[Владимир Гусев]

> Мужики, пишите в соответствии с доками. Всё работает как там указано. На  
> более чем одной машине. Если проблемы есть, то они вызваны чем-то другим.

Я этих доков и туториалов уже столько прочел, что голова кругом.. Удалось  
выработать приемлемую конфигурацию, НО я так и не понял, КАК КОРРЕКТНО  
СОХРАНИТЬ СОЗДАННЫЕ ФИЛЬТРЫ И ПРАВИЛА... Одни пишут, про  
/etc/sysconfig/iptables, но он как был у меня пустой, так и  
остается...:( Некоторые предлагают создать исполняемый файл со всем  
наработанным и каждыйраз его стартовать при перезагрузке, причем первые  
строки с ключом -F (очищается все и вся и по новой воссоздается)... Еще  
пишут про rc.firewall... Так что корректнее всего и как это реализовано в  
Мастере?
А пока при перезагрузке все сбрасывается и приходится создавать заново...  
Я не пойму, как работает команда iptables-save и куда она все сохраняет?



-- 
С уважением, Владимир Гусев

Re: [Comm] iptables и SNAT - КАК КОРРЕКТНО СОХРАНИТЬ СОЗДАННЫЕ ФИЛЬТРЫ И ПРАВИЛА

[Andrey Rahmatullin]

[-- Attachment #1: Type: text/plain, Size: 1264 bytes --]

On Thu, Mar 24, 2005 at 08:32:18PM +0300, Владимир Гусев wrote:
> Я этих доков и туториалов уже столько прочел, что голова кругом.. Удалось  
> выработать приемлемую конфигурацию, НО я так и не понял, КАК КОРРЕКТНО  
> СОХРАНИТЬ СОЗДАННЫЕ ФИЛЬТРЫ И ПРАВИЛА... Одни пишут, про  
> /etc/sysconfig/iptables, но он как был у меня пустой, так и  
> остается...:(
service iptables save

> Некоторые предлагают создать исполняемый файл со всем  
> наработанным и каждыйраз его стартовать при перезагрузке, причем первые  
> строки с ключом -F (очищается все и вся и по новой воссоздается)... Еще  
> пишут про rc.firewall...
Этот скрипт и называется rc.firewall ;)

> Так что корректнее всего
Скрипт удобнее править. Но service iptables правильнее.

> А пока при перезагрузке все сбрасывается и приходится создавать заново...  
Дык.
> Я не пойму, как работает команда iptables-save и куда она все сохраняет?
Команда - никуда. service iptables save - в /etc/sysconfig/iptables.

-- 
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(8):

> Ведь сам /usr/share вполне может быть симлинком.
Не согласен. В нормальной системе этого не бывает.
А то ведь можно докатиться до требования запретить относительные ссылки.
		-- ldv in devel@

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] iptables и SNAT - КАК КОРРЕКТНО СОХРАНИТЬ СОЗДАННЫЕ ФИЛЬТРЫ И ПРАВИЛА

[Владимир Гусев]

>> Удалось
>> выработать приемлемую конфигурацию, НО я так и не понял, КАК КОРРЕКТНО
>> СОХРАНИТЬ СОЗДАННЫЕ ФИЛЬТРЫ И ПРАВИЛА... Одни пишут, про
>> /etc/sysconfig/iptables, но он как был у меня пустой, так и
>> остается...:(
> service iptables save
>> Так что корректнее всего
> Скрипт удобнее править. Но service iptables правильнее.
>
>> А пока при перезагрузке все сбрасывается и приходится создавать  
>> заново...
> Дык.
>> Я не пойму, как работает команда iptables-save и куда она все сохраняет?
> Команда - никуда. service iptables save - в /etc/sysconfig/iptables.

Значит, судя по всему, алгоритм внесения, применения и сохранения  
изменений в iptables такой:

1. Внесение нового правила
iptables _правило_
2. После этого применение нового правила
service iptables restart - рестарт iptables с внесенным выше _правилом_
Если все устроит, то
3. Сохранение всех правил
servive iptables save
После этого все сохраняется в /etc/sysconfig/iptables и при перезагрузке  
ОС применится.

Я правильно понял?




-- 
С уважением, Владимир Гусев

Re: [Comm] iptables и SNAT - КАК КОРРЕКТНО СОХРАНИТЬ СОЗДАННЫЕ ФИЛЬТРЫ И ПРАВИЛА

[Pavel Usischev]

Владимир Гусев пишет:
> Значит, судя по всему, алгоритм внесения, применения и сохранения  
> изменений в iptables такой:
> 
> 1. Внесение нового правила
> iptables _правило_

Вот сразу после этого правило и начинает действовать.

> 2. После этого применение нового правила
> service iptables restart - рестарт iptables с внесенным выше _правилом_

Нет. После такой команды набор правил сбросится до сохраненного в 
/etc/sysconfig/iptables.

> Если все устроит, то
> 3. Сохранение всех правил
> servive iptables save
> После этого все сохраняется в /etc/sysconfig/iptables и при 
> перезагрузке  ОС применится.

Да.

-- 
С уважением,
Павел Усищев

Re: [Comm] iptables и SNAT - КАК КОРРЕКТНО СОХРАНИТЬ СОЗДАННЫЕ ФИЛЬТРЫ И ПРАВИЛА

[Владимир Гусев]

>> Значит, судя по всему, алгоритм внесения, применения и сохранения   
>> изменений в iptables такой:
>>  1. Внесение нового правила
>> iptables _правило_
>
> Вот сразу после этого правило и начинает действовать.
>
>> 2. После этого применение нового правила
>> service iptables restart - рестарт iptables с внесенным выше _правилом_
>
> Нет. После такой команды набор правил сбросится до сохраненного в  
> /etc/sysconfig/iptables.

Странно... Вроде после этой команды ничего не сбрасывалось... Если судить  
по выводу команды iptables-save, конечно...



-- 
С уважением, Владимир Гусев

Re: [Comm] iptables и SNAT - КАК КОРРЕКТНО СОХРАНИТЬ СОЗДАННЫЕ ФИЛЬТРЫ И ПРАВИЛА

[Mike Lykov]

В сообщении от Пятница 25 Март 2005 03:40 Владимир Гусев написал:

> > Нет. После такой команды набор правил сбросится до сохраненного в
> > /etc/sysconfig/iptables.
> Странно... Вроде после этой команды ничего не сбрасывалось... Если судить
> по выводу команды iptables-save, конечно...

Вы полностью запутались, по моему.
Судить надо по выводу команды iptables -L

Алгоритм очень простой:
1. iptables -A/D/любое
(начинает действовать)
2. iptables -A/D/любое
(начинает действовать)
3 повторять до удовлетворения
4. проверить iptables -L
5. service iptables save

ВСЁ!

если нужно, указывать имя таблицы через -t

PS и не читайте плохо применимых советов типа " Некоторые предлагают создать 
исполняемый файл со всем наработанным и каждыйраз его стартовать при 
перезагрузке"

Это ненужный, ручной метод. От этого избавляют уже готовые стартовые скрипты 
сервиса iptables.

-- 
Mike Lykov
Samara, "Vesna" parfum company, System administrator 

Re: [Comm] iptables и SNAT - КАК КОРРЕКТНО СОХРАНИТЬ СОЗДАННЫЕ ФИЛЬТРЫ И ПРАВИЛА

[Dmytro O. Redchuk]

On Fri, Mar 25, 2005 at 08:41:49AM +0400, Mike Lykov wrote:
> Алгоритм очень простой:
> 1. iptables -A/D/любое
> (начинает действовать)
> 2. iptables -A/D/любое
> (начинает действовать)
> 3 повторять до удовлетворения
> 4. проверить iptables -L
> 5. service iptables save
> 
> ВСЁ!
Я "готов согласиться" с тем, что "скрипт проще править". Поэтому можно
(мне кажется -- допустимо;) создать хорошо откомментированный скрипт *), в
который можно будет так же просто в нужное место добавить строчку. И вот
как раз при добавлении строчки этим скриптом можно всё это дело и
запускать.

После чего пренепременно iptables save -- и ни в коем случае не пихать в
стартовые скрипты что-то своё ;-)

_____
 *) У меня была площадка с двумя внутренними сетками и двумя каналами на
    разных провайдеров. При этом policy routing по маркам в iptables, и
    куча правил для просто accounting и просто куча... Добавлять руками и
    при этом не промахнуться -- возможно, но... Из серии "Никогда не
    повторяйте удачный эксперимент" :О) И поэтому у меня был добрый
    десяток скриптов.  Думаю, что всё это делать руками -- неоправданный
    героизм :-) Или "job security" -- "делать свою работу так, чтобы никто
    другой не смог это сделать" (что ещё  хуже, конечно).

> 
> если нужно, указывать имя таблицы через -t
> 
> PS и не читайте плохо применимых советов типа " Некоторые предлагают создать 
> исполняемый файл со всем наработанным и каждыйраз его стартовать при 
> перезагрузке"
> 
> Это ненужный, ручной метод. От этого избавляют уже готовые стартовые скрипты 
> сервиса iptables.
> 
> -- 
> Mike Lykov
> Samara, "Vesna" parfum company, System administrator 

-- 
  _,-=._              /|_/|
  `-.}   `=._,.-=-._.,  @ @._,
     `._ _,-.   )      _,.-'
        `    G.m-"^m`m'        Dmytro O. Redchuk

Re: [Comm] iptables и SNAT - КАК КОРРЕКТНО СОХРАНИТЬ СОЗДАННЫЕ ФИЛЬТРЫ И ПРАВИЛА

[Владимир Гусев]

>> > Нет. После такой команды набор правил сбросится до сохраненного в
>> > /etc/sysconfig/iptables.
>> Странно... Вроде после этой команды ничего не сбрасывалось... Если  
>> судить
>> по выводу команды iptables-save, конечно...
>
> Вы полностью запутались, по моему.
> Судить надо по выводу команды iptables -L
>
> Алгоритм очень простой:
> 1. iptables -A/D/любое
> (начинает действовать)
> 2. iptables -A/D/любое
> (начинает действовать)
> 3 повторять до удовлетворения
> 4. проверить iptables -L
> 5. service iptables save
>
> ВСЁ!

Эх.. просто это не укладывается с фактами... Я сделал правило для SNAT  
(упоминал в этом треде), нажал Enter - правило применилось.. затем делал  
service iptables restart, а затем iptables-save... Файл  
/etc/sysconfig/iptables и до, и после этих действий оставался пустым.. НО  
правило для SNAT после service iptables restart ПРОДОЛЖАЛО РАБОТАТЬ для  
пользователей сетки - доступ в инет через один внешний IP оставался до  
перезагрузки сервера (нужно было выключить его на время)...  Почему  
работало? Не пойму..
Вот я и гадаю - нужно ли мне пересоздавать все правила заново и сохранить  
их при помощи service iptables save, или можно просто дать эту команду и  
все будет хорошо...

-- 
С уважением, Владимир Гусев