AbcLinuxu:/ Poradna / Linuxová poradna / Prosim pomozte s preroutovanim verejne IP do LAN

Štítky: BSD, DHCP, distribuce, DNS, firewally, HTML, Internet, iptables, LAN, NAT, OpenBSD, proxy, sítě, textové editory, Vim, web

Dotaz: Prosim pomozte s preroutovanim verejne IP do LAN

14.7.2004 12:13 eMKo
Prosim pomozte s preroutovanim verejne IP do LAN

Přečteno: 791×

Odpovědět | Admin

Vim ze se to tu uz mnohokrat resilo. Ale ja to potrebuji opravdu nutne a co mozna nejrychleji. OS mam OpenBSD nicmene predpokladam ze by to mohlo byt hodne podobne. Takze ted k memu problemu. Od ISP mam prideleno nekolik verejnych IP adres. Na serveru mam NAT pro celou LAN takze vsichni vystupuji pod jednim IP. Ted ale nastal problem ze nekteri z klinetu LAN chteji verejne adresy. Jak jim je ale pridelim do vnitrni site? Prosim poradte

Nástroje: Začni sledovat (1) ?

Odpovědi

14.7.2004 12:51 Kamorek | skóre: 33 | blog: předvolební mazec | VB
Rozbalit Rozbalit vše Re: Prosim pomozte s preroutovanim verejne IP do LAN

Predpokladam, ze v IPTABLES nechas preroutovat celkovy provoz na 1 z tech verejnych IP adres, ktrou nastavis na localnim stroji v siti.

Taky si udělám nějakou studii.

14.7.2004 12:54 Kamorek | skóre: 33 | blog: předvolební mazec | VB
Rozbalit Rozbalit vše Re: Prosim pomozte s preroutovanim verejne IP do LAN

to je teda peknej blabol :-)

Pardon

Taky si udělám nějakou studii.

14.7.2004 14:10 tezkatlipoka | skóre: 35
Rozbalit Rozbalit vše Re: Prosim pomozte s preroutovanim verejne IP do LAN

v IPTABLES si nechaz vsechny adresy MASQovat jednou adresou, ale ty vybrane nechas jim urcenou:

iptables -t nat -A POSTROUTING -o eth1 -s xxx.xxx.xxx.xxx.xxx -j SNAT --to yyy.yyy.yyy.yyy

kdyz se adresa xxx.xxx.xxx.xxx pokusi opustit pocitac pres eth1 zamaskujeme si adresou yyy.yyy.yyy.yyy na zbytek adres nech normalni NAT tak jak ho mas kdyz by jsi chtel aby to fungovalo i bracene (z venci dovnitr) tak je to uplne stejne, akorat je to PREROUTING a DNAT. Musis take povolit forward zvensi na tu vnitrni adresu.

Vaše řeč budiž ano, ano, ne, ne. Co je nad to, je od ďábla.

15.7.2004 14:35 CIJOML | skóre: 58 | Praha
Rozbalit Rozbalit vše Re: Prosim pomozte s preroutovanim verejne IP do LAN

tusim tazatel chtel primy routing, zadny preklad.

3.11.2004 21:49 David Sedláček | skóre: 20 | Žďár nad Sázavou
Rozbalit Rozbalit vše Re: Prosim pomozte s preroutovanim verejne IP do LAN

OK, tedy vis jak na to? Resim stejny problem. Pripadne jak to realizovat se zebrou.

3.11.2004 23:48 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: Prosim pomozte s preroutovanim verejne IP do LAN

Ale u přímého routingu není co řešit.

Pouze zajistit aby se ty veřejné IP nepřekládaly (neprováděl pro ně NAT) a aby prošly přes pravidla které jsou určené pro ten PC.

Pomocí příkazu route přidáme pravidlo kam má ta veřejná IP jít. (na jaké rozhraní)

No a tomu uživatelovi řekneme aby si nastavil IP tu a tu (veřejnou) případně ji zadáme do DHCP pokud se IP přidělují přes DHCP.

PS. Prostě co vám nechodí ?

man route, man iptables - nic více není třeba případně nastavit DHCP, DNS..

4.11.2004 00:00 Michal Kubeček
Rozbalit Rozbalit vše Re: Prosim pomozte s preroutovanim verejne IP do LAN

Bohužel je co řešit - je nutné, aby přinejmenším poslední gateway před vámi věděla, že má ty pakety posílat vám (a spolu s ní všichni, kdo jsou s vámi na stejném segmentu). To se dá zařídit buď tak, že se jim přidá odpovídající položka do směrovací tabulky (obvykle neproveditelné), nebo tak, že budete odpovídat na ARP dotazy na tu adresu (např. proxy ARP - viz odkaz v mém minulém příspěvku).

4.11.2004 00:52 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: Prosim pomozte s preroutovanim verejne IP do LAN

Bohužel je co řešit - je nutné, aby přinejmenším poslední gateway před vámi věděla, že má ty pakety posílat vám (a spolu s ní všichni, kdo jsou s vámi na stejném segmentu). To se dá zařídit buď tak, že se jim přidá odpovídající položka do směrovací tabulky (obvykle neproveditelné)

Proč neproveditelné ????

Prostě IP ta a ta je na tom a tom rozhraní a je to normalní příkaz route ?

Stačí přidat do konfiguráku podle distribuce jako statické routování.

Samozřejmě beru to pokud je ta síť složitá a k jednomu PC existuje několik cest tak to je složitější.

4.11.2004 20:47 Michal Kubeček
Rozbalit Rozbalit vše Re: Prosim pomozte s preroutovanim verejne IP do LAN

Neproveditelné proto, že ty počítače obvykle nejsou pod vaší kontrolou. Nejčastěji se totiž jedná o situaci, kdy schováváte jednu svou veřejnou adresu za druhou (ze stejného rozsahu) a musel byste to zanést do routovacích tabulek na gatewayi vašeho ISP a všech dalších počítačích, které jsou s vámi na stejném segmentu (např. u mikrovlny).

5.11.2004 01:29 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: Prosim pomozte s preroutovanim verejne IP do LAN

Já pokud jsem to pochopil tak má od providera X veřejných IP a ty mu provider posílá na jeho zařízení - server a on určité IP chce posílat dále do své sítě. Aspoň takto jsem to pochopil a potom by to mělo jít. Doteď z toho rozsahu využíval pouze jednu IP za kterou maskoval (NAT) všechny svoje stroje.

Aspoň takto jsem to pochopil a potom by to mělo jít.

5.11.2004 09:11 Michal Kubeček
Rozbalit Rozbalit vše Re: Prosim pomozte s preroutovanim verejne IP do LAN

To je ta jednodušší varianta. Ale v praxi jsem se častěji setkal s tím, že zákazník dostane několik (např. dvě) IP, u kterých se předpokládá, že budou vidět zvenku přímo (patří do stejného rozsahu spolu s GW providera). Pokud pak chci z nějakých důvodů exponovat jen jednu (firewall) a ostatní za ni schovat (DMZ), musím to nějak obejít. Jednou z možností je zmíněná proxy ARP (pseudobridge).

3.11.2004 23:31 Michal Kubeček
Rozbalit Rozbalit vše Re: Prosim pomozte s preroutovanim verejne IP do LAN

Např. http://www.lartc.org/howto/lartc.bridging.proxy-arp.html

Založit nové vlákno • Nahoru

Tiskni Sdílej: