[Comm] NAT

[Comm] NAT

[Кочетков Владимир]

Здравствуйте, community !

Не могу разобраться как в iptables задается статичное преобразование
 адреса. Сейчас адреса меняются на адрес шлюза:

 $IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_IP

 А нужно еще добавить статичные преобразования,
 например 192.168.1.12 в ХХХ.ХХХ.ХХХ.12

-- 
С уважением,
 Кочетков Владимир                      mailto:kvn@toltc.samen.elektra.ru
 Тольяттинские тепловые сети

Re: [Comm] NAT

[Mike Lykov]

[-- Attachment #1: signed data --]
[-- Type: text/plain, Size: 348 bytes --]

В сообщении от Четверг 05 Июнь 2003 13:05 Кочетков Владимир написал:

> Не могу разобраться как в iptables задается статичное преобразование
>  адреса. Сейчас адреса меняются на адрес шлюза:
>  А нужно еще добавить статичные преобразования,
>  например 192.168.1.12 в ХХХ.ХХХ.ХХХ.12

надо читать man iptables насчет опций -s & --to-source

-- 
Mike

[-- Attachment #2: signature --]
[-- Type: application/pgp-signature, Size: 307 bytes --]

Re: [Comm] NAT

[Andriy Dobrovol's'kii]

Кочетков Владимир wrote:
> Здравствуйте, community !
> 
> Не могу разобраться как в iptables задается статичное преобразование
>  адреса. Сейчас адреса меняются на адрес шлюза:
> 
>  $IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_IP
> 
>  А нужно еще добавить статичные преобразования,
>  например 192.168.1.12 в ХХХ.ХХХ.ХХХ.12
> 
Абсолютно не понял, что Вам нужно.

-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   265-7824            Department of Gas Electronics
Fax:   (380-44)   265-2329             Institute of Physics of NASU
*********************************************************************

Re[2]: [Comm] NAT

[Кочетков Владимир]

Здравствуйте, Andriy.

Вы писали 5 июня 2003 г., 16:45:16:

> Абсолютно не понял, что Вам нужно.

Да... , пожалуй я и сам бы не понял ;-))

Подробнее это выглядит так:
Стоит машина с двумя интерфейсами, реальным ххх.ххх.ххх.7 и внутренним
192.168.1.1. На ней настроен iptables  на преобразование адресов

$IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to-source xxx.xxx.xxx.7

Нужно настроить выход одной машины под своим отдельным ip.
Например во внутренней сети машинка 192.168.1.12 должна выходить
наружу как ххх.ххх.ххх.12. Это нужно для раздачи инета, провайдер
выдает по ip.

Добавление в конфиг

$IPTABLES -t nat -A POSTROUTING -s 192.168.1.12 -o eth0 -j SNAT
--to-source xxx.xxx.xxx.12

не помогло :-(
Может ошибся в написании ?
 
С уважением,
 Кочетков                          mailto:kvn@toltc.samen.elektra.ru

Re: [Comm] NAT

[Владимир]

Кочетков Владимир пишет:

>Здравствуйте, Andriy.
>
>Вы писали 5 июня 2003 г., 16:45:16:
>
>  
>
>>Абсолютно не понял, что Вам нужно.
>>    
>>
>
>Да... , пожалуй я и сам бы не понял ;-))
>
>Подробнее это выглядит так:
>Стоит машина с двумя интерфейсами, реальным ххх.ххх.ххх.7 и внутренним
>192.168.1.1. На ней настроен iptables  на преобразование адресов
>
>$IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to-source xxx.xxx.xxx.7
>
>Нужно настроить выход одной машины под своим отдельным ip.
>Например во внутренней сети машинка 192.168.1.12 должна выходить
>наружу как ххх.ххх.ххх.12. Это нужно для раздачи инета, провайдер
>выдает по ip.
>
>Добавление в конфиг
>
>$IPTABLES -t nat -A POSTROUTING -s 192.168.1.12 -o eth0 -j SNAT
>--to-source xxx.xxx.xxx.12
>
>не помогло :-(
>Может ошибся в написании ?
>  
>

Присмотритесь внимательней, в данном случае имеет значение
_В_КАКОМ_ПОРЯДКЕ правила загружены в таблицу nat.


-- 
Best regards
Vladimir

Re: [Comm] NAT

[Konstantin V. Gaidukov]

Владимир пишет:

> Кочетков Владимир пишет:
>
>> Здравствуйте, Andriy.
>>
>> Вы писали 5 июня 2003 г., 16:45:16:
>>
>>  
>>
>>> Абсолютно не понял, что Вам нужно.
>>>   
>>
>>
>> Да... , пожалуй я и сам бы не понял ;-))
>>
>> Подробнее это выглядит так:
>> Стоит машина с двумя интерфейсами, реальным ххх.ххх.ххх.7 и внутренним
>> 192.168.1.1. На ней настроен iptables  на преобразование адресов
>>
>> $IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 
>> xxx.xxx.xxx.7 
>
Можно, если ничего не помогает, изменить на:
$IPTABLES -t nat -A POSTROUTING -s !192.168.1.12  -o eth0 -j SNAT 
--to-source xxx.xxx.xxx.7

>>
>>
>> Нужно настроить выход одной машины под своим отдельным ip.
>> Например во внутренней сети машинка 192.168.1.12 должна выходить
>> наружу как ххх.ххх.ххх.12. Это нужно для раздачи инета, провайдер
>> выдает по ip.
>>
>> Добавление в конфиг
>>
>> $IPTABLES -t nat -A POSTROUTING -s 192.168.1.12 -o eth0 -j SNAT
>> --to-source xxx.xxx.xxx.12
>>
>> не помогло :-(
>> Может ошибся в написании ?
>>  
>>
>
> Присмотритесь внимательней, в данном случае имеет значение
> _В_КАКОМ_ПОРЯДКЕ правила загружены в таблицу nat.
>
>

Re: [Comm] NAT

[Andriy Dobrovol's'kii]

Konstantin V. Gaidukov wrote:
> Владимир пишет:
> 
>> Кочетков Владимир пишет:
>>
>>> Здравствуйте, Andriy.
>>>
>>> Вы писали 5 июня 2003 г., 16:45:16:
>>>
>>>  
>>>
>>>> Абсолютно не понял, что Вам нужно.
>>>>   
>>>
>>>
>>>
>>> Да... , пожалуй я и сам бы не понял ;-))
>>>
>>> Подробнее это выглядит так:
>>> Стоит машина с двумя интерфейсами, реальным ххх.ххх.ххх.7 и внутренним
>>> 192.168.1.1. На ней настроен iptables  на преобразование адресов
>>>
>>> $IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 
>>> xxx.xxx.xxx.7 
>>
>>
> Можно, если ничего не помогает, изменить на:
> $IPTABLES -t nat -A POSTROUTING -s !192.168.1.12  -o eth0 -j SNAT 
> --to-source xxx.xxx.xxx.7
> 
Ни в коем случае! А вот на порядок загрузки правил посмотреть нужно. 
Чтоб сперва проверялось на уникальный адрес, а уже затем выполнялась 
массовая подстановка.
>>>
>>>
>>> Нужно настроить выход одной машины под своим отдельным ip.
>>> Например во внутренней сети машинка 192.168.1.12 должна выходить
>>> наружу как ххх.ххх.ххх.12. Это нужно для раздачи инета, провайдер
>>> выдает по ip.
>>>
>>> Добавление в конфиг
>>>
>>> $IPTABLES -t nat -A POSTROUTING -s 192.168.1.12 -o eth0 -j SNAT
>>> --to-source xxx.xxx.xxx.12
>>>
>>> не помогло :-(
>>> Может ошибся в написании ?
>>>  
>>>
>>
>> Присмотритесь внимательней, в данном случае имеет значение
>> _В_КАКОМ_ПОРЯДКЕ правила загружены в таблицу nat.
>>
> 


-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   265-7824            Department of Gas Electronics
Fax:   (380-44)   265-2329             Institute of Physics of NASU
*********************************************************************

[Comm] squid & wb_ntlmauth troubles

[Konstantin V. Gaidukov]

Никак не получается прикрутить squid для авторизациии через домен W2k

------------------------------------- smb.conf 
----------------------------------
   workgroup = OMG
    log file = /var/log/samba/log.%m
    max log size = 50
    hosts allow = 192.168.1. 10.0.0. 127.
    security = domain
    password server = oscar pc-43
    encrypt passwords = yes
    winbind uid = 10000-20000
    winbind gid = 10000-20000
    winbind enum users = yes
    winbind enum groups = yes
    winbind separator = "\"
    winbind use default domain = yes
    dns proxy = no
    template homedir = /home/samba/temp/%D/%U
    template shell = /bin/bash

-----------------------------------squid.conf----------------------------------------
auth_param ntlm program /path/wb_ntlmauth
auth_param ntlm children 5
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes

auth_param basic program /usr/local/squid/libexec/wb_auth
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours

acl MyUser proxy_auth REQUIRED
acl all src 0.0.0.0/0.0.0.0
acl MyNet src 192.168.1.0/255.255.255.0

http_access allow MyUser
http_access allow MyNet
http_access deny all
------------------------------------
winbind прикручен:
#wbinfo -t
Secret is good
#wbinfo -a domain\\user%password
OK!
#/path/wb_auth -d
 >domain\user password
OK!

При присоединении клиента через IE, выдается окно для ввода пароля, но 
!!!!!
вводим правильный пароль - в доступе отказано.
Если поменять ntlm и basic местами - выдается окно ввода пароля и 
авторизация проходит успешно.
При входе в интернет через Mozill'у для виндов - сразу окно ввода пароля 
- и авторизация проходит успешно.

Squid 2.5, причем не только в ALT'овской сборке, но самосбор STABLE2 / 
STABLE3
Samba 2.2.7 ALT (стандарт из ALT Master 2.2)

Re[2]: [Comm] NAT

[Кочетков Владимир]

Здравствуйте, Владимир.

Вы писали 6 июня 2003 г., 12:11:43:

В> Присмотритесь внимательней, в данном случае имеет значение
В> _В_КАКОМ_ПОРЯДКЕ правила загружены в таблицу nat.

Порядок такой:
$IPTABLES -t nat -A POSTROUTING -s 192.168.1.12 -o eth0 -j SNAT --to-source xxx.xxx.xxx.12
$IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to-source xxx.xxx.xxx.7

Пробовал также:
$IPTABLES -t nat -A POSTROUTING -s 192.168.1.12 -o eth0 -j SNAT --to-source xxx.xxx.xxx.12
$IPTABLES -t nat -A POSTROUTING -s ! 192.168.1.12 -o eth0 -j SNAT --to-source xxx.xxx.xxx.7

Результат один, с 192.168.1.12 прохода нет :-(

Кстати, просматривая правила ( iptables -L ) не вижу NAT. Может я не
туда гляжу ? Как должно выглядеть правило NAT ?
-- 
С уважением,
 Кочетков                          mailto:kvn@toltc.samen.elektra.ru

Re: [Comm] NAT

[Alexander Simernin]

В сообщении от Пятница 06 Июнь 2003 13:37 Кочетков Владимир написал(a):
> Здравствуйте, Владимир.
>
> Вы писали 6 июня 2003 г., 12:11:43:
>
> В> Присмотритесь внимательней, в данном случае имеет значение
> В> _В_КАКОМ_ПОРЯДКЕ правила загружены в таблицу nat.
>
> Порядок такой:
> $IPTABLES -t nat -A POSTROUTING -s 192.168.1.12 -o eth0 -j SNAT --to-source
> xxx.xxx.xxx.12 $IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to-source
> xxx.xxx.xxx.7
>
> Пробовал также:
> $IPTABLES -t nat -A POSTROUTING -s 192.168.1.12 -o eth0 -j SNAT --to-source
> xxx.xxx.xxx.12 $IPTABLES -t nat -A POSTROUTING -s ! 192.168.1.12 -o eth0 -j
> SNAT --to-source xxx.xxx.xxx.7
>
> Результат один, с 192.168.1.12 прохода нет :-(
>
> Кстати, просматривая правила ( iptables -L ) не вижу NAT. Может я не
> туда гляжу ? Как должно выглядеть правило NAT ?

А попробовать iptables -t nat -L ? :)

-- 
Best regards,								mailto:simernin@maxus.ru
 Alexander.

Re: [Comm] NAT

[Владимир]

Кочетков Владимир пишет:

>Здравствуйте, Владимир.
>
>Вы писали 6 июня 2003 г., 12:11:43:
>
>В> Присмотритесь внимательней, в данном случае имеет значение
>В> _В_КАКОМ_ПОРЯДКЕ правила загружены в таблицу nat.
>
>Порядок такой:
>$IPTABLES -t nat -A POSTROUTING -s 192.168.1.12 -o eth0 -j SNAT --to-source xxx.xxx.xxx.12
>$IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to-source xxx.xxx.xxx.7
>
>Пробовал также:
>$IPTABLES -t nat -A POSTROUTING -s 192.168.1.12 -o eth0 -j SNAT --to-source xxx.xxx.xxx.12
>$IPTABLES -t nat -A POSTROUTING -s ! 192.168.1.12 -o eth0 -j SNAT --to-source xxx.xxx.xxx.7
>
>Результат один, с 192.168.1.12 прохода нет :-(
>
>Кстати, просматривая правила ( iptables -L ) не вижу NAT. Может я не
>туда гляжу ? Как должно выглядеть правило NAT ?
>  
>
Если таблица не указана явно, подразумевается filter
Вывод покажите (с счетчиками)

iptables -t nat --line-number -vnL


-- 
Best regards
Vladimir

Re[2]: [Comm] NAT

[Кочетков Владимир]

Здравствуйте, Владимир.

Вы писали 6 июня 2003 г., 16:04:07:


>>В> Присмотритесь внимательней, в данном случае имеет значение
>>В> _В_КАКОМ_ПОРЯДКЕ правила загружены в таблицу nat.
>>
>>Порядок такой:
>>$IPTABLES -t nat -A POSTROUTING -s 192.168.1.12 -o eth0 -j SNAT --to-source xxx.xxx.xxx.12
>>$IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to-source xxx.xxx.xxx.7

В> Если таблица не указана явно, подразумевается filter
В> Вывод покажите (с счетчиками)

В> iptables -t nat --line-number -vnL

Вот такая картина:

Chain PREROUTING (policy ACCEPT 1377 packets, 249K bytes)
num   pkts bytes target     prot opt in     out     source               destination         

Chain POSTROUTING (policy ACCEPT 19 packets, 4167 bytes)
num   pkts bytes target     prot opt in     out     source               destination
1       21  1456 SNAT       all  --  *      eth0    192.168.1.12   0.0.0.0/0          to:xxx.xxx.xxx.12
2       95 28856 SNAT       all  --  *      eth0    0.0.0.0/0      0.0.0.0/0          to:xxx.xxx.xxx.7

Chain OUTPUT (policy ACCEPT 48 packets, 7199 bytes)
num   pkts bytes target     prot opt in     out     source               destination      

Где eth0 внешний интерфейс с ip xxx.xxx.xxx.7



-- 
С уважением,
 Кочетков                          mailto:kvn@toltc.samen.elektra.ru

Re: [Comm] NAT

[Andriy Dobrovol's'kii]

Кочетков Владимир wrote:
> Здравствуйте, Владимир.
> 
> Вы писали 6 июня 2003 г., 16:04:07:
> 
> 
> 
>>>В> Присмотритесь внимательней, в данном случае имеет значение
>>>В> _В_КАКОМ_ПОРЯДКЕ правила загружены в таблицу nat.
>>>
>>>Порядок такой:
>>>$IPTABLES -t nat -A POSTROUTING -s 192.168.1.12 -o eth0 -j SNAT --to-source xxx.xxx.xxx.12
>>>$IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to-source xxx.xxx.xxx.7
> 
> 
> В> Если таблица не указана явно, подразумевается filter
> В> Вывод покажите (с счетчиками)
> 
> В> iptables -t nat --line-number -vnL
> 
> Вот такая картина:
> 
> Chain PREROUTING (policy ACCEPT 1377 packets, 249K bytes)
> num   pkts bytes target     prot opt in     out     source               destination         
> 
> Chain POSTROUTING (policy ACCEPT 19 packets, 4167 bytes)
> num   pkts bytes target     prot opt in     out     source               destination
> 1       21  1456 SNAT       all  --  *      eth0    192.168.1.12   0.0.0.0/0          to:xxx.xxx.xxx.12
> 2       95 28856 SNAT       all  --  *      eth0    0.0.0.0/0      0.0.0.0/0          to:xxx.xxx.xxx.7
> 
> Chain OUTPUT (policy ACCEPT 48 packets, 7199 bytes)
> num   pkts bytes target     prot opt in     out     source               destination      
> 
> Где eth0 внешний интерфейс с ip xxx.xxx.xxx.7
> 
> 
> Ну, пакетики через первое правило уходят.
Я только не пойму, как Вы их назад получить собрались? Или у eth0 
настроено два IP? Да, и в цепочке форвардинга хождение пакетов 
разрешено?

-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   265-7824            Department of Gas Electronics
Fax:   (380-44)   265-2329             Institute of Physics of NASU
*********************************************************************

Re[2]: [Comm] NAT

[Кочетков Владимир]

Здравствуйте, Andriy.

Вы писали 9 июня 2003 г., 12:35:19:

>> Ну, пакетики через первое правило уходят.
ADsk> Я только не пойму, как Вы их назад получить собрались? Или у eth0 
ADsk> настроено два IP? Да, и в цепочке форвардинга хождение пакетов 
ADsk> разрешено?

Вот и я тоже не пойму, задача ставилась так:

Стоит машина с двумя интерфейсами, реальным ххх.ххх.ххх.7 и внутренним
192.168.1.1. На ней настроен iptables  на преобразование адресов

$IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to-source xxx.xxx.xxx.7

Нужно настроить выход одной машины под своим отдельным ip.
Например во внутренней сети машинка 192.168.1.12 должна выходить
наружу как ххх.ххх.ххх.12. Это нужно для раздачи инета, провайдер
выдает по ip.

На что мне и предложили добавить правило:
$IPTABLES -t nat -A POSTROUTING -s 192.168.1.12 -o eth0 -j SNAT --to-source xxx.xxx.xxx.12
-- 
С уважением,
 Кочетков                          mailto:kvn@toltc.samen.elektra.ru

Re: [Comm] NAT

[Andriy Dobrovol's'kii]

Кочетков Владимир wrote:
> Здравствуйте, Andriy.
> 
> Вы писали 9 июня 2003 г., 12:35:19:
> 
> 
>>>Ну, пакетики через первое правило уходят.
> 
> ADsk> Я только не пойму, как Вы их назад получить собрались? Или у eth0 
> ADsk> настроено два IP? Да, и в цепочке форвардинга хождение пакетов 
> ADsk> разрешено?
> 
> Вот и я тоже не пойму, задача ставилась так:
> 
> Стоит машина с двумя интерфейсами, реальным ххх.ххх.ххх.7 и внутренним
> 192.168.1.1. На ней настроен iptables  на преобразование адресов
> 
> $IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to-source xxx.xxx.xxx.7
> 
> Нужно настроить выход одной машины под своим отдельным ip.
> Например во внутренней сети машинка 192.168.1.12 должна выходить
> наружу как ххх.ххх.ххх.12. Это нужно для раздачи инета, провайдер
> выдает по ip.
> 
> На что мне и предложили добавить правило:
> $IPTABLES -t nat -A POSTROUTING -s 192.168.1.12 -o eth0 -j SNAT --to-source xxx.xxx.xxx.12
Ну, попробуйте добавить второй IP внешней карте. И провайдер должен 
об этом знать, ес-но. Иначе, ИМХО, пакеты уходить будут, а вот назад 
дорогу не найдут.
Или вставьте ещё одну карту и пускайте этот поток через неё... Но, 
как-то это муторно...
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   265-7824            Department of Gas Electronics
Fax:   (380-44)   265-2329             Institute of Physics of NASU
*********************************************************************

Re[2]: [Comm] NAT

[Кочетков Владимир]

Здравствуйте, Andriy.

Вы писали 9 июня 2003 г., 14:00:36:
ADsk> Ну, попробуйте добавить второй IP внешней карте. И провайдер должен
ADsk> об этом знать, ес-но. Иначе, ИМХО, пакеты уходить будут, а вот назад 
ADsk> дорогу не найдут.
ADsk> Или вставьте ещё одну карту и пускайте этот поток через неё... Но, 
ADsk> как-то это муторно...

А вот счас нашел такой вариант через iproute

ip rule add from 192.168.1.12 nat xxx.xxx.xxx.12
ip route add nat xxx.xxx.xxx.12 via 192.168.1.12

Возможно ли его применение с iptables, там пример описывался с
ipchains ?
-- 
С уважением,
 Кочетков                          mailto:kvn@toltc.samen.elektra.ru

Re: [Comm] NAT

[Andriy Dobrovol's'kii]

Кочетков Владимир wrote:
> Здравствуйте, Andriy.
> 
> Вы писали 9 июня 2003 г., 14:00:36:
> ADsk> Ну, попробуйте добавить второй IP внешней карте. И провайдер должен
> ADsk> об этом знать, ес-но. Иначе, ИМХО, пакеты уходить будут, а вот назад 
> ADsk> дорогу не найдут.
> ADsk> Или вставьте ещё одну карту и пускайте этот поток через неё... Но, 
> ADsk> как-то это муторно...
> 
> А вот счас нашел такой вариант через iproute
> 
> ip rule add from 192.168.1.12 nat xxx.xxx.xxx.12
> ip route add nat xxx.xxx.xxx.12 via 192.168.1.12
> 
> Возможно ли его применение с iptables, там пример описывался с
> ipchains ?
Так причем тут это? У Вас и сейчас пакеты уходят в мир с нужными 
адресами. Проблема возврата этих пакетов. Ведь карта имеет только 
один адрес? Так куда вернутся пакеты для привелигированной машины? 
Потому и пишу, что нужно ставить второй IP на ту же карту.

-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   265-7824            Department of Gas Electronics
Fax:   (380-44)   265-2329             Institute of Physics of NASU
*********************************************************************

Re[2]: [Comm] NAT

[Кочетков Владимир]

Здравствуйте, Andriy.

Вы писали 9 июня 2003 г., 14:49:09:

ADsk> Так причем тут это? У Вас и сейчас пакеты уходят в мир с нужными
ADsk> адресами. Проблема возврата этих пакетов. Ведь карта имеет только 
ADsk> один адрес? Так куда вернутся пакеты для привелигированной машины? 
ADsk> Потому и пишу, что нужно ставить второй IP на ту же карту.

Тоесть если я правильно понял необходимо задать алиас на интерфейс с
ip xxx.xxx.xxx.12
А что если придется тоже самое сделать для десятка машин, забить
десяток алиасов ?
Может есть какой то другой способ ?

-- 
С уважением,
 Кочетков                          mailto:kvn@toltc.samen.elektra.ru

Re: [Comm] NAT

[Andriy Dobrovol's'kii]

Кочетков Владимир wrote:
> Здравствуйте, Andriy.
> 
> Вы писали 9 июня 2003 г., 14:49:09:
> 
> ADsk> Так причем тут это? У Вас и сейчас пакеты уходят в мир с нужными
> ADsk> адресами. Проблема возврата этих пакетов. Ведь карта имеет только 
> ADsk> один адрес? Так куда вернутся пакеты для привелигированной машины? 
> ADsk> Потому и пишу, что нужно ставить второй IP на ту же карту.
> 
> Тоесть если я правильно понял необходимо задать алиас на интерфейс с
> ip xxx.xxx.xxx.12
Угу.
> А что если придется тоже самое сделать для десятка машин, забить
> десяток алиасов ?
_Я_ другого варианта не знаю. Может кто-то подскажет.
> Может есть какой то другой способ ?
> 
Поставьте машинку конвертор адресов до основного шлюза. Пусть она 
только преобразованием адресов и занимается. А шлюз только форвардит 
пакеты уже без преобразования. Может так станет вразумительней. Или 
провайдер должен сам решать проблему возврата пакетов по правильному 
маршруту... Но, как это будет выглядеть "в натуре"... слабо себе 
представляю.

-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   265-7824            Department of Gas Electronics
Fax:   (380-44)   265-2329             Institute of Physics of NASU
*********************************************************************

Re: [Comm] NAT

[Alexander Vasiliev]

On Mon, Jun 09, 2003 at 03:11:30PM +0500, Кочетков Владимир wrote:
> Тоесть если я правильно понял необходимо задать алиас на интерфейс с
> ip xxx.xxx.xxx.12
> А что если придется тоже самое сделать для десятка машин, забить
> десяток алиасов ?
> Может есть какой то другой способ ?
Взять у провайдера не отдельные ip, а сеть ххх.ххх.ххх.0/27 (или
ххх.ххх.ххх.0/26, сколько вам нужно). Шлюз настроить на прием
пакетов для всей сети. Поднять на нем dhcp сервер и раздавать ip
так, как вам нужно.
--
Александр Васильев
ЗАО "Таском"
vav@tascom.ru

Re: Re[2]: [Comm] NAT

[Yuri Hramov]

[-- Attachment #1: signed data --]
[-- Type: text/plain, Size: 374 bytes --]

В сообщении от 9 Июнь 2003 12:11 Кочетков Владимир написал:

> Стоит машина с двумя интерфейсами, реальным ххх.ххх.ххх.7 и внутренним
> 192.168.1.1. На ней настроен iptables  на преобразование адресов

А где интерфейс xxx.xxx.xxx.12? Он вообще существует? Настроен?


-- 
С уважением,
Юрий Храмов
Заместитель генерального директора
ООО K-Технологии (Технологии знания) 

[-- Attachment #2: signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] NAT

[Konstantin V. Gaidukov]

Кочетков Владимир пишет:

>Здравствуйте, Владимир.
>
>Вы писали 6 июня 2003 г., 12:11:43:
>
>В> Присмотритесь внимательней, в данном случае имеет значение
>В> _В_КАКОМ_ПОРЯДКЕ правила загружены в таблицу nat.
>
>Порядок такой:
>$IPTABLES -t nat -A POSTROUTING -s 192.168.1.12 -o eth0 -j SNAT --to-source xxx.xxx.xxx.12
>$IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to-source xxx.xxx.xxx.7
>
>Пробовал также:
>$IPTABLES -t nat -A POSTROUTING -s 192.168.1.12 -o eth0 -j SNAT --to-source xxx.xxx.xxx.12
>$IPTABLES -t nat -A POSTROUTING -s ! 192.168.1.12 -o eth0 -j SNAT --to-source xxx.xxx.xxx.7
>
>Результат один, с 192.168.1.12 прохода нет :-(
>
>Кстати, просматривая правила ( iptables -L ) не вижу NAT. Может я не
>туда гляжу ? Как должно выглядеть правило NAT ?
>  
>
iptables -L -t nat

Re: Re[2]: [Comm] NAT

[Yuri Hramov]

[-- Attachment #1: signed data --]
[-- Type: text/plain, Size: 522 bytes --]

В сообщении от 6 Июнь 2003 13:37 Кочетков Владимир написал:
> Порядок такой:
> $IPTABLES -t nat -A POSTROUTING -s 192.168.1.12 -o eth0 -j SNAT --to-source
> xxx.xxx.xxx.12
> $IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to-source
> xxx.xxx.xxx.7

А почему POSTROUTING?

> Кстати, просматривая правила ( iptables -L ) не вижу NAT. Может я не
> туда гляжу ? Как должно выглядеть правило NAT ?

iptables -L -t nat

-- 
С уважением,
Юрий Храмов
Заместитель генерального директора
ООО K-Технологии (Технологии знания) 

[-- Attachment #2: signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: Re[2]: [Comm] NAT

[Yuri Hramov]

[-- Attachment #1: signed data --]
[-- Type: text/plain, Size: 554 bytes --]

В сообщении от 6 Июнь 2003 13:37 Кочетков Владимир написал:

Пардоньте, в предыдущем письме взглючил.

> Порядок такой:
> $IPTABLES -t nat -A POSTROUTING -s 192.168.1.12 -o eth0 -j SNAT --to-source
> xxx.xxx.xxx.12 

Обрабатываем пришедшее с eth0 и адресом 192.168.1.12

> $IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to-source
> xxx.xxx.xxx.7

Обрабатываем ВСЕ, пришедшее с eth0

Попробуйте в последнее правило добавить -s ! xxx.xxx.xxx.12


-- 
С уважением,
Юрий Храмов
Заместитель генерального директора
ООО K-Технологии (Технологии знания) 

[-- Attachment #2: signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: Re[2]: [Comm] NAT

[Igor Solovyov]

Hi!
On Fri, 6 Jun 2003 15:40:35 +0400
Yuri Hramov <hramov@k-technology.ru> wrote:

> > Порядок такой:
> > $IPTABLES -t nat -A POSTROUTING -s 192.168.1.12 -o eth0 -j
> > SNAT --to-source xxx.xxx.xxx.12 
> 
> Обрабатываем пришедшее с eth0 и адресом 192.168.1.12

IMHO у Вас тут в этом правиле написано отнюдь не
"пришедшее с eth0", а ровно наоборот - уходящее на eth0.

> > $IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to-source
> > xxx.xxx.xxx.7
> 
> Обрабатываем ВСЕ, пришедшее с eth0

и тут - уходящее на eth0.

-- 
Best regards!
Igor Solovyov
System/network administrator
JSC CB "Zlatkombank"

Re[4]: [Comm] NAT

[Кочетков Владимир]

Здравствуйте, Yuri.

Вы писали 6 июня 2003 г., 16:40:35:

YH> В сообщении от 6 Июнь 2003 13:37 Кочетков Владимир написал:

YH> Пардоньте, в предыдущем письме взглючил.

>> Порядок такой:
>> $IPTABLES -t nat -A POSTROUTING -s 192.168.1.12 -o eth0 -j SNAT --to-source
>> xxx.xxx.xxx.12 

YH> Обрабатываем пришедшее с eth0 и адресом 192.168.1.12

>> $IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to-source
>> xxx.xxx.xxx.7

YH> Обрабатываем ВСЕ, пришедшее с eth0

YH> Попробуйте в последнее правило добавить -s ! xxx.xxx.xxx.12



Все с точностью наоборот, все идущее на eth0 ;-))

-- 
С уважением,
 Кочетков                          mailto:kvn@toltc.samen.elektra.ru

Re: Re[4]: [Comm] NAT

[Yuri Hramov]

[-- Attachment #1: signed data --]
[-- Type: text/plain, Size: 473 bytes --]

В сообщении от 9 Июнь 2003 10:19 Кочетков Владимир написал:

> >> > >> $IPTABLES -t nat -A POSTROUTING -o eth0 -j SNAT --to-source
> >> xxx.xxx.xxx.7
>
> YH> Обрабатываем ВСЕ, пришедшее с eth0
>
> YH> Попробуйте в последнее правило добавить -s ! xxx.xxx.xxx.12

> Все с точностью наоборот, все идущее на eth0 ;-))

Это я заметил уже после отправки второго письма ;)

-- 
С уважением,
Юрий Храмов
Заместитель генерального директора
ООО K-Технологии (Технологии знания) 

[-- Attachment #2: signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]