Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

NAT con IP multipli sulla stessa ETH

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
BigTrumpet



Registrato: 24/05/07 15:25
Messaggi: 155

MessaggioInviato: Gio Set 27, 2007 5:38 pm    Oggetto: NAT con IP multipli sulla stessa ETH Rispondi citando

Ciao a Fulvio e alla community

ho un pool di indirizzi IP pubblici su una interfaccia dove ho attivato il NAT.
Esempio:

ETH00 (NAT ENABLED)
11.22.33.66/28
11.22.33.67/28
11.22.33.68/28

ETH01
192.168.1.1/24

Il mio router per Internet ha indirizzo:
11.22.33.65, ed è il default gateway per Zeroshell

I miei client si collegano all'interfaccia ETH01 (default gateway 192.168.1.1) e possono uscire in Internet.
Sembra che Zeroshell li faccia uscire tramite il primo IP pubblico 11.22.33.66 e questo mi va benissimo.

Ora ho attivato un NAT 1:1 tra un altro IP pubblico e un IP della mia LAN tramite questo comando (inserito in Startup):

iptables -t nat -A PREROUTING -i ETH00 -d 11.22.33.67 -j DNAT --to 192.168.1.7

Dall'esterno riesco a raggiungere il mio host nella LAN privata, ma quando questo si connette all'esterno, esce sempre tramite l'IP pubblico dedicato al NAT (11.22.33.66).

La mia domanda è:
come posso dire a Zeroshell di far uscire in ogni caso questo IP (192.168.1.7) tramite l'IP pubblico 11.22.33.67?

Devo inserire un'altra regola in iptables? Se sì, quale?

Grazie
Massimo


L'ultima modifica di BigTrumpet il Ven Set 28, 2007 10:34 am, modificato 1 volta
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Gio Set 27, 2007 7:05 pm    Oggetto: Rispondi citando

Così al volo senza però poterlo verificare in questo momento direi che qualcosa di simile alla seguente dovrebbe fare al caso tuo:

iptables -t nat -A POSTROUTING -o ETH00 -s 192.168.1.7 -j SNAT --to 11.22.33.67

Ciao
Fulvio
Top
Profilo Invia messaggio privato
BigTrumpet



Registrato: 24/05/07 15:25
Messaggi: 155

MessaggioInviato: Ven Set 28, 2007 10:32 am    Oggetto: Rispondi citando

Grazie per il consiglio.
Purtroppo non pare funzionare, le connessioni originate da 192.168.1.7 vengono viste all'esterno come 11.22.33.66 (il primo indirizzo IP dell'interfaccia)

Mi chiedevo se potesse essere un problema nell'ordine delle regole iptables. Ecco come me le elenca

Codice:
iptables -t nat -L POSTROUTING

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
SNATVS     all  --  anywhere             anywhere
MASQUERADE  all  --  anywhere             anywhere
MASQUERADE  all  --  anywhere             anywhere
SNAT       all  --  192.168.1.7        anywhere            to:11.22.33.67
Top
Profilo Invia messaggio privato
typoon



Registrato: 18/04/07 12:14
Messaggi: 11

MessaggioInviato: Ven Set 28, 2007 2:13 pm    Oggetto: Rispondi citando

di solito con iptables, almeno è così nel firewall, si deve mettere prima le regole più specifiche poi quelle più generiche
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Ven Set 28, 2007 7:08 pm    Oggetto: Rispondi citando

Confermo è proprio così. Nel tuo caso poiché la regola di MASQUERADE è più generica della SNAT impedisce a quest'ultima di essere valutata. Quindi risolvi con il comando che segue:

iptables -t nat -I POSTROUTING 1 -o ETH00 -s 192.168.1.7 -j SNAT --to 11.22.33.67

che colloca la regola in prima posizione.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
BigTrumpet



Registrato: 24/05/07 15:25
Messaggi: 155

MessaggioInviato: Dom Set 30, 2007 3:07 pm    Oggetto: Rispondi citando

Ora funziona infatti.
Grazie!

Massimo
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it