Krzysztof Lewandowski napisał(a):
Dariusz Kowalczyk napisał(a):
Dnia Tue, 05 Jul 2005 14:52:06 +0200, Krzysztof Lewandowski krzysiek@lca.pl napisał:
Dariusz Kowalczyk napisał(a):
Dnia Tue, 05 Jul 2005 13:58:43 +0200, Krzysztof Lewandowski krzysiek@lca.pl napisał:
Tomasz Chilinski napisał(a):
On Tue, 05 Jul 2005 08:40:26 +0200, Krzysztof Lewandowski wrote
> Przepraszam że nie w temacie, ale może ktoś mi pomoże. > Zrobiłem na routerze przekierowanie portów dla abonentów. > (Iptables Dnat). Wszystko działa ładnie dla polaczeń z > internetem, jednak userzy pomiedzy sobą nie moga się > komunikowac przez tak przekierowane porty. W czym może być > problem? Zamierzeam zrobić NAT- > e 1:1 przekierowanie publicznych adresów do środka, i pewnie to > tez nie będzie działać.
Masz DNAT w net/PREROUTING na zewnętrznym interfejsie? Jeśli tak to z sieci wewnętrznej nie trafiają tam pakiety, gdyż podejmowana jest decyzja routingu wskazująca, że pakiet jest adresowany do lokalnej maszyny (tej robiącej za NAT).
> -- Krzysztof Lewandowski - krzysiek@lca.pl
-- Tomasz Chiliński
To może podpowiedź jak zrobić by na zewnetrznym ETH robic forward i aby działał on dla połączeń zewnętrznych i wewnętrznych.
Oto jak mam zrobione teraz
firewall . . .
iptables -A INPUT -p tcp --dport 30000:30255 -j ACCEPT iptables -A FORWARD -p tcp --dport 30000:30255 -j ACCEPT iptables -A INPUT -p udp --dport 30000:30255 -j ACCEPT iptables -A FORWARD -p udp --dport 30000:30255 -j ACCEPT
. . . iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to xx.xx.xx.xx
skrypt forwardów
for {set IP 0} {$IP<255} {incr IP} {
set PORT [expr {30000+$IP}]
exec iptables -A PREROUTING -t nat -p tcp -d xx.xx.xx.xx --dport $PORT -j DNAT --to 10.1.1.$IP:$PORT exec iptables -A PREROUTING -t nat -p udp -d xx.xx.xx.xx --dport $PORT -j DNAT --to 10.1.1.$IP:$PORT
}
KL
no to nie jest pelny nat 1:1 tylko nat na okreslone porty nat 1:1 proponuje zrobic tak jak ponizej i sprawdzic ja tak mam dziala idealnie iptables -t nat -A PREROUTING -p tcp -d publicznyip1 -j DNAT --to 192.168.1.1 iptables -t nat -A PREROUTING -p udp -d publicznyip1 -j DNAT --to 192.168.1.1 iptables -t nat -A PREROUTING -p tcp -d publicznyip2 -j DNAT --to 192.168.1.2 iptables -t nat -A PREROUTING -p udp -d publicznyip2 -j DNAT --to 192.168.1.2 ....itd no i oczywiscie snat /sbin/iptables -t nat -A POSTROUTING -s 192.168.1.1 -d 0/0 -j SNAT --to publicznyip1 /sbin/iptables -t nat -A POSTROUTING -s 192.168.1.2 -d 0/0 -j SNAT --to publicznyip2
No ale umnie jest identycznie.
Jak mam forwardowane tylko pojedyńcze porty a nie całe adres IP, to chcę zrobić później, tylko dla wybrańców.
KL
moze nie na temat ale.. powiem szczerze ...dla twojego dobra zrob prosty nat 1:1 klienci beda zadowoleni ty bedziesz mial z zglowy odpowiadania na glupie telefony dlacze u was sie nie da jak u takiego a takiego operatora mogle ...teraz standart jak masz tyle ip zeby dawac kazdemu publiczny to dawaj
Właśnie niemam tyle, i chcę dać przynajmniej port.
KL
Widzę że nie macie pomysłów, to może ktoś mi poradzi jak trzeba ustawić HTB w daemonie aby obserwował ruch wyjściowy na 2 kartach sieciowych wyjściowych w świat, tak by nieważne którą abonent wychodził był ograniczany do wartości ustawionej w taryfie.
KL
uczestnicy (1)
-
Krzysztof Lewandowski