* [Sysadmins] iptables/nat и несколько одинаковых сетей
@ 2006-11-18 7:32 Eugene Prokopiev
2006-11-18 8:28 ` Dmitriy L. Kruglikov
` (4 more replies)
0 siblings, 5 replies; 17+ messages in thread
From: Eugene Prokopiev @ 2006-11-18 7:32 UTC (permalink / raw)
To: Sysadmins
Здравствуйте!
Что криминального в этой строке и отчего она не работает:
# iptables -t nat -A PREROUTING -d 10.0.0.0/24 -i eth0.61 -j SNAT
--to-source 192.168.199.88
iptables: Unknown error 4294967295
Объясню, что вообще хочу. Есть сеть 192.168.100.0/24 и роутер
192.168.100.100 (на котором я и пытаюсь это выполнить). За роутером
сидит сеть 10.0.0.0/24, каждый из хостов которой имеет также интерфейс в
сеть 192.168.100.0/24 (это уже другая сеть ;) - не смейтесь, есть
серьезные на то причины). И вот хочется из первой сети 192.168.100.0/24
работать (ssh и http хватит) с хостами, которые сидят в 10.0.0.0/24 и во
второй сети 192.168.100.0/24. Я пробрасывал отдельные порты на
192.168.100.100, но уже запарило ...
--
С уважением, Прокопьев Евгений
^ permalink raw reply [flat|nested] 17+ messages in thread* Re: [Sysadmins] iptables/nat и несколько одинаковых сетей 2006-11-18 7:32 [Sysadmins] iptables/nat и несколько одинаковых сетей Eugene Prokopiev @ 2006-11-18 8:28 ` Dmitriy L. Kruglikov 2006-11-18 17:23 ` Eugene Prokopiev 2006-11-18 9:03 ` Nikolay A. Fetisov ` (3 subsequent siblings) 4 siblings, 1 reply; 17+ messages in thread From: Dmitriy L. Kruglikov @ 2006-11-18 8:28 UTC (permalink / raw) To: ALT Linux sysadmin discuss На календаре было: Суббота, 18 Ноябрь 2006 года, Eugene Prokopiev писал(а) в сообщении: EP == Eugene Prokopiev EP> не смейтесь, есть EP> серьезные на то причины). Не могу судить о серьезности причин, но может быть вы не тот микроскоп выбрали для этих орехов? Давайте попробуем обсудить причины и, может быть, найдем решение проблемы ... Начнем с задачи ... Для чего все это нужно? -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov_at_orionagro.com.ua |@_@ | DKR6-RIPE |!_/ | ICQ# 13047326 // \ \ XMPP:dkr6@jabber.ru (| | ) /'\_ _/`\ Powered by Linux \___)=(___/ -- Мысль -- Когда бедность входит в дверь, любовь вылетает в окно. -- Неизвестный автор ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [Sysadmins] iptables/nat и несколько одинаковых сетей 2006-11-18 8:28 ` Dmitriy L. Kruglikov @ 2006-11-18 17:23 ` Eugene Prokopiev 2006-11-19 9:19 ` Dmitriy L. Kruglikov 0 siblings, 1 reply; 17+ messages in thread From: Eugene Prokopiev @ 2006-11-18 17:23 UTC (permalink / raw) To: ALT Linux sysadmin discuss Dmitriy L. Kruglikov пишет: > На календаре было: Суббота, 18 Ноябрь 2006 года, > Eugene Prokopiev писал(а) в сообщении: > > EP == Eugene Prokopiev > > EP> не смейтесь, есть > EP> серьезные на то причины). > > Не могу судить о серьезности причин, > но может быть вы не тот микроскоп выбрали для этих орехов? > Давайте попробуем обсудить причины и, может быть, найдем решение > проблемы ... > Начнем с задачи ... > Для чего все это нужно? Вы хотите поговорить об этом? ;) (с) ОК. Первая сеть 192.168.100.0/24 существует уже давно, хостов в ней много, и переводить ее на другую адресацию просто невозможно. Да и не поможет, а почему, будет ясно из дальнейшего. Вторая такая же сеть существует неделю, наверное, и она виртуальная. Точнее все машины из сети 10.0.0.0/24 - это VE в OpenVZ (а если точнее, то и сети такой нет, адреса VE - 10.0.0.*/32 - но это уже особенности OpenVZ ;) ). Каждый VE имеет venet-интерфейс для общения с внешним миром (в основном 192.168.100.0/24 и 192.168.199.0/24) через HN c адресами 192.168.100.100 и 192.168.199.88. Кроме того, каждый VE имеет veth-интерфейс, на котором куча адресов, в том числе и из сети 192.168.100.0/24, которая к первой не меет никакого отношения. Все такие veth-интерфейсы вместе с одним физическим интерфейсом HN сидят в одном бридже. По ту сторону бриджа находится куча разных устройств, конфигурируемых по IP. И вот их первоначальные интерфейсы определяются производителями и могут быть какими угодно. Из сети 192.168.100.0/24 уже есть, из 192.168.199.0/24 пока еще нет. VE должны быть готовы к управлению устройствами, вынутыми из коробки (если, конечно, наше ПО знает, что с этими устройствами делать), поэтому на них должны быть настроены соответствующие сети. Пока идут эксперименты, VE несколько, потом, может, станет меньше ... И чего можно придумать для прямого доступа к VE из сети 192.168.100.0/24? -- С уважением, Прокопьев Евгений ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [Sysadmins] iptables/nat и несколько одинаковых сетей 2006-11-18 17:23 ` Eugene Prokopiev @ 2006-11-19 9:19 ` Dmitriy L. Kruglikov 2006-11-20 7:12 ` Eugene Prokopiev 0 siblings, 1 reply; 17+ messages in thread From: Dmitriy L. Kruglikov @ 2006-11-19 9:19 UTC (permalink / raw) To: ALT Linux sysadmin discuss На календаре было: Суббота, 18 Ноябрь 2006 года, Eugene Prokopiev писал(а) в сообщении: EP == Eugene Prokopiev EP> Вы хотите поговорить об этом? ;) (с) Ну, скорее, вы, чем я :) Совет-то нужен вам ... А я хочу, всего лишь, понять, где собака ... EP> Кроме того, каждый VE имеет veth-интерфейс, на котором куча адресов, в EP> том числе и из сети 192.168.100.0/24, которая к первой не меет никакого EP> отношения. Вот тут мне не совсем понятно... Простите за тупость ... :) Если есть адрес из сети 192.168.100.0/24, то он уже имеет к ней отношение ... Я так полагаю, что в сети 192.168.100.0/24 где-то есть "умная" железка, именуемая маршрутизатором, которая разруливает адреса IP в MAC ... И она должна находить veth-интерфейсы, и предоставлять информацию. Стало быть, предположение "которая к первой не меет никакого отношения", вызывает у меня сомнения... EP> Все такие veth-интерфейсы вместе с одним физическим EP> интерфейсом HN сидят в одном бридже. Мне кажется, в вашей сети должно быть не менее двух маршрутизаторов. Попробуйте посмотреть трассы "от" и "до" ... EP> По ту сторону бриджа находится куча EP> разных устройств, конфигурируемых по IP. И вот их первоначальные EP> интерфейсы определяются производителями и могут быть какими угодно. Железки такого класса, которые попадали в руки мне, иногда имеют порты для настройки... COM, USB ... Для того, чтобы поднять конфиг и сетку ... Но это мелочи ... И так, вопрос: Какое устройство "знает" о наличии в природе сетей 192.168.100.0/24, 192.168.199.0/24, 10.0.0.0/24 К кому обращаются все машины в сети с вопросами? Может быть, этому устройству нужно пояснить командами типа route add (ip route add) и так далее ... Если у вас нет реально сети 10.0.0.0/24, а устройства вида 10.0.0.*/32 разбросаны как попало, то нужно будет добавить маршруты на каждое такое устройство. Вопрос второй: Если у вас в сети несколько шлюзов между вашими сетями, то вероятно нужно будет настраивать маскирование (NAT) на каждом шлюзе для каждого исходящего адреса ... EP> EP> И чего можно придумать для прямого доступа к VE из сети 192.168.100.0/24? EP> А не попробовать ли выполнять маскирование исходящих запросов непосредственно на машине, на которой установлены VE ? И рекомендую еще раз посмотреть на топологию своей сети ... Я не могу понять, как машина с двумя сетевыми интерфейсами может понять, что адреса из сети 192.168.100.0/24 могут находиться как за интерфейсом eth0, так и за eth1 ... Это крайне анатомический путь через тернии к гландам ... Я не спорю, вероятно можно так извратиться, но стоит ли? -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov_at_orionagro.com.ua |@_@ | DKR6-RIPE |!_/ | ICQ# 13047326 // \ \ XMPP:dkr6@jabber.ru (| | ) /'\_ _/`\ Powered by Linux \___)=(___/ -- Мысль -- - Тук-тук! - Кто там? - Это я, веб-браузер! - А фреймы поддерживаешь? - Не-е-а! - Тогда и за веревочку не дергай! ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [Sysadmins] iptables/nat и несколько одинаковых сетей 2006-11-19 9:19 ` Dmitriy L. Kruglikov @ 2006-11-20 7:12 ` Eugene Prokopiev 2006-11-20 7:25 ` Dmitriy L. Kruglikov 0 siblings, 1 reply; 17+ messages in thread From: Eugene Prokopiev @ 2006-11-20 7:12 UTC (permalink / raw) To: ALT Linux sysadmin discuss Dmitriy L. Kruglikov пишет: > На календаре было: Суббота, 18 Ноябрь 2006 года, > Eugene Prokopiev писал(а) в сообщении: > > EP == Eugene Prokopiev > > > EP> Вы хотите поговорить об этом? ;) (с) > Ну, скорее, вы, чем я :) Совет-то нужен вам ... > А я хочу, всего лишь, понять, где собака ... :) > EP> Кроме того, каждый VE имеет veth-интерфейс, на котором куча адресов, в > EP> том числе и из сети 192.168.100.0/24, которая к первой не меет никакого > EP> отношения. > Вот тут мне не совсем понятно... Простите за тупость ... :) > > Если есть адрес из сети 192.168.100.0/24, то он уже имеет к ней отношение ... > Я так полагаю, что в сети 192.168.100.0/24 где-то есть "умная" железка, > именуемая маршрутизатором, которая разруливает адреса IP в MAC ... > И она должна находить veth-интерфейсы, и предоставлять информацию. > Стало быть, предположение "которая к первой не меет никакого отношения", > вызывает у меня сомнения... ну считайте что есть 2 сети 192.168.100.0/24, между ними бриджа нет и маршрутизации нет, но есть машины (VE), которым известен маршрут в одну сеть 192.168.100.0/24 (через маршрутизатор) и они же имеют второй сетевой интерфейс с адресом из другой сети 192.168.100.0/24 > EP> Все такие veth-интерфейсы вместе с одним физическим > EP> интерфейсом HN сидят в одном бридже. > Мне кажется, в вашей сети должно быть не менее двух маршрутизаторов. > Попробуйте посмотреть трассы "от" и "до" ... а почему вам так кажется? > EP> По ту сторону бриджа находится куча > EP> разных устройств, конфигурируемых по IP. И вот их первоначальные > EP> интерфейсы определяются производителями и могут быть какими угодно. > Железки такого класса, которые попадали в руки мне, иногда имеют порты для настройки... > COM, USB ... Для того, чтобы поднять конфиг и сетку ... > Но это мелочи ... некоторые может и имеют ;) но не те, что я держу в руках :( > И так, вопрос: > Какое устройство "знает" о наличии в природе сетей > 192.168.100.0/24, > 192.168.199.0/24, > 10.0.0.0/24 HN > К кому обращаются все машины в сети с вопросами? мне нужно с физической машины из физической сети 192.168.100.0/24 достучаться до VE > Может быть, этому устройству нужно пояснить командами типа > route add (ip route add) и так далее ... HN знает о физической сети 192.168.100.0/24 и о виртуальных адресах вида 10.0.0.*/32 (это работает по умолчанию в OpenVZ). О второй сети 192.168.100.0/24 (частично виртуальной) HN ничего не знает, не считая того, что через его устройство eth1 проходит бридж, соединяющий виртуальную и физическую части второй сети 192.168.100.0/24 > Если у вас нет реально сети 10.0.0.0/24, а устройства вида 10.0.0.*/32 > разбросаны как попало, то нужно будет добавить маршруты на каждое такое устройство. ну это не как попало, это политика OpenVZ в области работы с venet > Вопрос второй: > Если у вас в сети несколько шлюзов между вашими сетями, то вероятно > нужно будет настраивать маскирование (NAT) на каждом шлюзе для каждого исходящего адреса ... шлюз один (HN), именно на нем я не могу настроить маскирование > EP> И чего можно придумать для прямого доступа к VE из сети 192.168.100.0/24? > EP> > А не попробовать ли выполнять маскирование исходящих запросов непосредственно на машине, > на которой установлены VE ? разумеется, HN - именно эта машина, на ней я и пытаюсь это делать ;) > И рекомендую еще раз посмотреть на топологию своей сети ... > Я не могу понять, как машина с двумя сетевыми интерфейсами может понять, > что адреса из сети 192.168.100.0/24 могут находиться как за интерфейсом > eth0, так и за eth1 ... > Это крайне анатомический путь через тернии к гландам ... > Я не спорю, вероятно можно так извратиться, но стоит ли? полностью с вами согласен, потому и попытался настроить маскирование адресов, чтобы о первой чисто физической сети 192.168.100.0/24 VE ничего не знали -- С уважением, Прокопьев Евгений ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [Sysadmins] iptables/nat и несколько одинаковых сетей 2006-11-20 7:12 ` Eugene Prokopiev @ 2006-11-20 7:25 ` Dmitriy L. Kruglikov 2006-11-20 10:17 ` Eugene Prokopiev 0 siblings, 1 reply; 17+ messages in thread From: Dmitriy L. Kruglikov @ 2006-11-20 7:25 UTC (permalink / raw) To: ALT Linux sysadmin discuss На календаре было: Понедельник, 20 Ноябрь 2006 года, Eugene Prokopiev писал(а) в сообщении: EP == Eugene Prokopiev EP> ну считайте что есть 2 сети 192.168.100.0/24, между ними бриджа нет и EP> маршрутизации нет, но есть машины (VE), которым известен маршрут в одну EP> сеть 192.168.100.0/24 (через маршрутизатор) и они же имеют второй EP> сетевой интерфейс с адресом из другой сети 192.168.100.0/24 Евгений .... Попробую на пальцах .... Вот стоит мужик .... Блондин, 1,8 М ростом ... Зовут его Иванов Иван Иванович ... И паспорт у него есть ... И идентификационный код налоговый ... А вот подходит еще один Брюнет, 1,5 М ростом, афро-* национальности ... И зовут его ... Иванов Иван Иванович ... И паспорт у него есть ... И идентификационный код налоговый ... При чем, код такой же точно .... Вас это не удивляет? Точно так же и две сети с одинаковым диапазоном адресов и одинаковой маской ... Они могут жить только за одним интерфейсом ... Но не за двумя ... За двумя - не могут ... Или это уже две сети ... _Две_ !!! Вы просто запутались в терминах и определениях ... Продолжительное жонглирование терминами до добра не доводит ... -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov_at_orionagro.com.ua |@_@ | DKR6-RIPE |!_/ | ICQ# 13047326 // \ \ XMPP:dkr6@jabber.ru (| | ) /'\_ _/`\ Powered by Linux \___)=(___/ -- Мысль -- Женщины пьют льстивую ложь одним глотком, а горькую правду - каплями. -- Дидро ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [Sysadmins] iptables/nat и несколько одинаковых сетей 2006-11-20 7:25 ` Dmitriy L. Kruglikov @ 2006-11-20 10:17 ` Eugene Prokopiev 2006-11-20 10:27 ` Dmitriy L. Kruglikov 0 siblings, 1 reply; 17+ messages in thread From: Eugene Prokopiev @ 2006-11-20 10:17 UTC (permalink / raw) To: ALT Linux sysadmin discuss Dmitriy L. Kruglikov пишет: > На календаре было: Понедельник, 20 Ноябрь 2006 года, > Eugene Prokopiev писал(а) в сообщении: > > EP == Eugene Prokopiev > > EP> ну считайте что есть 2 сети 192.168.100.0/24, между ними бриджа нет и > EP> маршрутизации нет, но есть машины (VE), которым известен маршрут в одну > EP> сеть 192.168.100.0/24 (через маршрутизатор) и они же имеют второй > EP> сетевой интерфейс с адресом из другой сети 192.168.100.0/24 > > Евгений .... Попробую на пальцах .... > Вот стоит мужик .... Блондин, 1,8 М ростом ... > Зовут его Иванов Иван Иванович ... И паспорт у него есть ... > И идентификационный код налоговый ... > А вот подходит еще один Брюнет, 1,5 М ростом, афро-* национальности ... > И зовут его ... Иванов Иван Иванович ... > И паспорт у него есть ... И идентификационный код налоговый ... > При чем, код такой же точно .... > > Вас это не удивляет? > > Точно так же и две сети с одинаковым диапазоном адресов и одинаковой маской ... > Они могут жить только за одним интерфейсом ... > Но не за двумя ... > > За двумя - не могут ... Или это уже две сети ... _Две_ !!! Именно это я и пытаюсь вам втолковать :) У них одинаковый диапазон адресов, одинаковая маска, хосты с одинаковыми адресами, а живут они за разными интерфейсами. И поэтому я попытался маскировать адреса, чтобы хосты из одинаковых сетей могли работать друг с другом > Вы просто запутались в терминах и определениях ... > Продолжительное жонглирование терминами до добра не доводит ... вряд ли. просто конфигурация действительно извращенная :( -- С уважением, Прокопьев Евгений ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [Sysadmins] iptables/nat и несколько одинаковых сетей 2006-11-20 10:17 ` Eugene Prokopiev @ 2006-11-20 10:27 ` Dmitriy L. Kruglikov 2006-11-20 10:36 ` Eugene Prokopiev 0 siblings, 1 reply; 17+ messages in thread From: Dmitriy L. Kruglikov @ 2006-11-20 10:27 UTC (permalink / raw) To: ALT Linux sysadmin discuss На календаре было: Понедельник, 20 Ноябрь 2006 года, Eugene Prokopiev писал(а) в сообщении: EP == Eugene Prokopiev EP> Именно это я и пытаюсь вам втолковать :) У них одинаковый диапазон EP> адресов, одинаковая маска, хосты с одинаковыми адресами, а живут они за EP> разными интерфейсами. А я вам пытаюсь объяснить, что это _неправильно_... И вам приходится делать кучу совершенно лишних приседаний... Может быть вам будет проще вылечить болезнь, а не ее проявления ? -- Best regards, Dmitriy L. Kruglikov .--. Dmitriy.Kruglikov_at_orionagro.com.ua |@_@ | DKR6-RIPE |!_/ | ICQ# 13047326 // \ \ XMPP:dkr6@jabber.ru (| | ) /'\_ _/`\ Powered by Linux \___)=(___/ -- Мысль -- Самолюбие и самомнение у нас европейские, а развитие и поступки азиатские. -- А.П.Чехов ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [Sysadmins] iptables/nat и несколько одинаковых сетей 2006-11-20 10:27 ` Dmitriy L. Kruglikov @ 2006-11-20 10:36 ` Eugene Prokopiev 0 siblings, 0 replies; 17+ messages in thread From: Eugene Prokopiev @ 2006-11-20 10:36 UTC (permalink / raw) To: ALT Linux sysadmin discuss Dmitriy L. Kruglikov пишет: > На календаре было: Понедельник, 20 Ноябрь 2006 года, > Eugene Prokopiev писал(а) в сообщении: > > EP == Eugene Prokopiev > > EP> Именно это я и пытаюсь вам втолковать :) У них одинаковый диапазон > EP> адресов, одинаковая маска, хосты с одинаковыми адресами, а живут они за > EP> разными интерфейсами. > > А я вам пытаюсь объяснить, что это _неправильно_... и это я тоже знаю :) и уже объяснил, почему пришлось сделать именно так > И вам приходится делать кучу совершенно лишних приседаний... > Может быть вам будет проще вылечить болезнь, а не ее проявления ? да я бы с радостью :) но вот как сделать конфигурацию более вменяемой, я придумать не могу :( -- С уважением, Прокопьев Евгений ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [Sysadmins] iptables/nat и несколько одинаковых сетей 2006-11-18 7:32 [Sysadmins] iptables/nat и несколько одинаковых сетей Eugene Prokopiev 2006-11-18 8:28 ` Dmitriy L. Kruglikov @ 2006-11-18 9:03 ` Nikolay A. Fetisov 2006-11-18 16:37 ` Eugene Prokopiev 2006-11-19 9:13 ` Kaydannik Alex ` (2 subsequent siblings) 4 siblings, 1 reply; 17+ messages in thread From: Nikolay A. Fetisov @ 2006-11-18 9:03 UTC (permalink / raw) To: sysadmins On Sat, 18 Nov 2006 10:32:27 +0300 Eugene Prokopiev wrote: > Что криминального в этой строке и отчего она не работает: > > # iptables -t nat -A PREROUTING -d 10.0.0.0/24 -i eth0.61 -j SNAT > --to-source 192.168.199.88 ^^^ А это не опечатка ли, в описании такой сети не видно... -- С уважением, Николай Фетисов ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [Sysadmins] iptables/nat и несколько одинаковых сетей 2006-11-18 9:03 ` Nikolay A. Fetisov @ 2006-11-18 16:37 ` Eugene Prokopiev 0 siblings, 0 replies; 17+ messages in thread From: Eugene Prokopiev @ 2006-11-18 16:37 UTC (permalink / raw) To: ALT Linux sysadmin discuss Nikolay A. Fetisov пишет: > On Sat, 18 Nov 2006 10:32:27 +0300 > Eugene Prokopiev wrote: > > >>Что криминального в этой строке и отчего она не работает: >> >># iptables -t nat -A PREROUTING -d 10.0.0.0/24 -i eth0.61 -j SNAT >>--to-source 192.168.199.88 > > ^^^ > А это не опечатка ли, в описании такой сети не видно... Нет, это еще один адрес роутера. Сеть 192.168.199.0/24 не конфликтует с тем, что имеется на хостах из сети 10.0.0.0/24, поэтому этот адрес и выбран для преобразования -- С уважением, Прокопьев Евгений ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [Sysadmins] iptables/nat и несколько одинаковых сетей 2006-11-18 7:32 [Sysadmins] iptables/nat и несколько одинаковых сетей Eugene Prokopiev 2006-11-18 8:28 ` Dmitriy L. Kruglikov 2006-11-18 9:03 ` Nikolay A. Fetisov @ 2006-11-19 9:13 ` Kaydannik Alex 2006-11-19 23:47 ` Arkadiy Pavlik 2006-11-20 11:26 ` ABATAPA 4 siblings, 0 replies; 17+ messages in thread From: Kaydannik Alex @ 2006-11-19 9:13 UTC (permalink / raw) To: ALT Linux sysadmin discuss Самое простое - сделать гетавей с метрикой в 10. Единственное - две подсети 192.168 будут конфликтовать. То-есть просто будут совпадать ипишники. > Здравствуйте! > > Что криминального в этой строке и отчего она не работает: > > # iptables -t nat -A PREROUTING -d 10.0.0.0/24 -i eth0.61 -j SNAT > --to-source 192.168.199.88 > iptables: Unknown error 4294967295 > > Объясню, что вообще хочу. Есть сеть 192.168.100.0/24 и роутер > 192.168.100.100 (на котором я и пытаюсь это выполнить). За роутером > сидит сеть 10.0.0.0/24, каждый из хостов которой имеет также интерфейс в > сеть 192.168.100.0/24 (это уже другая сеть ;) - не смейтесь, есть > серьезные на то причины). И вот хочется из первой сети 192.168.100.0/24 > работать (ssh и http хватит) с хостами, которые сидят в 10.0.0.0/24 и во > второй сети 192.168.100.0/24. Я пробрасывал отдельные порты на > 192.168.100.100, но уже запарило ... > > ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [Sysadmins] iptables/nat и несколько одинаковых сетей 2006-11-18 7:32 [Sysadmins] iptables/nat и несколько одинаковых сетей Eugene Prokopiev ` (2 preceding siblings ...) 2006-11-19 9:13 ` Kaydannik Alex @ 2006-11-19 23:47 ` Arkadiy Pavlik 2006-11-20 6:57 ` Eugene Prokopiev 2006-11-20 11:26 ` ABATAPA 4 siblings, 1 reply; 17+ messages in thread From: Arkadiy Pavlik @ 2006-11-19 23:47 UTC (permalink / raw) To: ALT Linux sysadmin discuss В сообщении от Сб 18 ноя 2006 17:32 Eugene Prokopiev написал(a): > Что криминального в этой строке и отчего она не работает: > > # iptables -t nat -A PREROUTING -d 10.0.0.0/24 -i eth0.61 -j SNAT > --to-source 192.168.199.88 > iptables: Unknown error 4294967295 криминально то, что SNAT можно использовать только на стадии POSTROUTING. а для PREROUTING есть DNAT. -- С уважением, Павлик Аркадий Алексеевич ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [Sysadmins] iptables/nat и несколько одинаковых сетей 2006-11-19 23:47 ` Arkadiy Pavlik @ 2006-11-20 6:57 ` Eugene Prokopiev 2006-11-20 8:11 ` Dmitry Lebkov 0 siblings, 1 reply; 17+ messages in thread From: Eugene Prokopiev @ 2006-11-20 6:57 UTC (permalink / raw) To: ALT Linux sysadmin discuss Arkadiy Pavlik пишет: > В сообщении от Сб 18 ноя 2006 17:32 Eugene Prokopiev написал(a): > > >>Что криминального в этой строке и отчего она не работает: >> >># iptables -t nat -A PREROUTING -d 10.0.0.0/24 -i eth0.61 -j SNAT >>--to-source 192.168.199.88 >>iptables: Unknown error 4294967295 > > > криминально то, что SNAT можно использовать только на стадии POSTROUTING. а > для PREROUTING есть DNAT. # iptables -t nat -A POSTROUTING -d 10.0.0.0/24 -i eth0.61 -j SNAT --to-source 192.168.199.88 iptables v1.3.5: Can't use -i with POSTROUTING использовать -s вместо -i я не могу, причины описаны выше :( -- С уважением, Прокопьев Евгений ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [Sysadmins] iptables/nat и несколько одинаковых сетей 2006-11-20 6:57 ` Eugene Prokopiev @ 2006-11-20 8:11 ` Dmitry Lebkov 0 siblings, 0 replies; 17+ messages in thread From: Dmitry Lebkov @ 2006-11-20 8:11 UTC (permalink / raw) To: ALT Linux sysadmin discuss Eugene Prokopiev wrote: > Arkadiy Pavlik пишет: >> В сообщении от Сб 18 ноя 2006 17:32 Eugene Prokopiev написал(a): >> >> >>> Что криминального в этой строке и отчего она не работает: >>> >>> # iptables -t nat -A PREROUTING -d 10.0.0.0/24 -i eth0.61 -j SNAT >>> --to-source 192.168.199.88 >>> iptables: Unknown error 4294967295 >> >> криминально то, что SNAT можно использовать только на стадии POSTROUTING. а >> для PREROUTING есть DNAT. > > # iptables -t nat -A POSTROUTING -d 10.0.0.0/24 -i eth0.61 -j SNAT > --to-source 192.168.199.88 > iptables v1.3.5: Can't use -i with POSTROUTING > > использовать -s вместо -i я не могу, причины описаны выше :( Эт то же самое, что и про SNAT/DNAT. В POSTROUTING возможно указать только outgoing interface (ключь -o), а в PREROUTING - только incoming (ключь -i). man iptables. -- WBR, Dmitry Lebkov ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [Sysadmins] iptables/nat и несколько одинаковых сетей 2006-11-18 7:32 [Sysadmins] iptables/nat и несколько одинаковых сетей Eugene Prokopiev ` (3 preceding siblings ...) 2006-11-19 23:47 ` Arkadiy Pavlik @ 2006-11-20 11:26 ` ABATAPA 2006-11-20 14:57 ` Alexey I. Froloff 4 siblings, 1 reply; 17+ messages in thread From: ABATAPA @ 2006-11-20 11:26 UTC (permalink / raw) To: ALT Linux sysadmin discuss 18 ноября 2006 10:32, Eugene Prokopiev написал: > # iptables -t nat -A PREROUTING -d 10.0.0.0/24 -i eth0.61 -j SNAT > --to-source 192.168.199.88 > iptables: Unknown error 4294967295 Помнится, давно уже NAT в PREROUTING не работает. Пробуйте POSTROUTING. -- ABATAPA ^ permalink raw reply [flat|nested] 17+ messages in thread
* Re: [Sysadmins] iptables/nat и несколько одинаковых сетей 2006-11-20 11:26 ` ABATAPA @ 2006-11-20 14:57 ` Alexey I. Froloff 0 siblings, 0 replies; 17+ messages in thread From: Alexey I. Froloff @ 2006-11-20 14:57 UTC (permalink / raw) To: sysadmins [-- Attachment #1: Type: text/plain, Size: 477 bytes --] * ABATAPA <dnsmaster@> [061120 15:12]: > > # iptables -t nat -A PREROUTING -d 10.0.0.0/24 -i eth0.61 -j SNAT > > --to-source 192.168.199.88 > > iptables: Unknown error 4294967295 > Помнится, давно уже NAT в PREROUTING не работает. Пробуйте POSTROUTING. Это где это оно "давно не работает"? -- Regards, Alexey I. Froloff AIF5-RIPN, AIF5-RIPE ------------------------------------------- Inform-Mobil, Ltd. System Administrator http://www.inform-mobil.ru/ [-- Attachment #2: Digital signature --] [-- Type: application/pgp-signature, Size: 189 bytes --] ^ permalink raw reply [flat|nested] 17+ messages in thread
end of thread, other threads:[~2006-11-20 14:57 UTC | newest] Thread overview: 17+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2006-11-18 7:32 [Sysadmins] iptables/nat и несколько одинаковых сетей Eugene Prokopiev 2006-11-18 8:28 ` Dmitriy L. Kruglikov 2006-11-18 17:23 ` Eugene Prokopiev 2006-11-19 9:19 ` Dmitriy L. Kruglikov 2006-11-20 7:12 ` Eugene Prokopiev 2006-11-20 7:25 ` Dmitriy L. Kruglikov 2006-11-20 10:17 ` Eugene Prokopiev 2006-11-20 10:27 ` Dmitriy L. Kruglikov 2006-11-20 10:36 ` Eugene Prokopiev 2006-11-18 9:03 ` Nikolay A. Fetisov 2006-11-18 16:37 ` Eugene Prokopiev 2006-11-19 9:13 ` Kaydannik Alex 2006-11-19 23:47 ` Arkadiy Pavlik 2006-11-20 6:57 ` Eugene Prokopiev 2006-11-20 8:11 ` Dmitry Lebkov 2006-11-20 11:26 ` ABATAPA 2006-11-20 14:57 ` Alexey I. Froloff
ALT Linux sysadmins discussion This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \ sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com public-inbox-index sysadmins Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.sysadmins AGPL code for this site: git clone https://public-inbox.org/public-inbox.git