NAT 1:1+ z lokalni site nepignnu verejnou IP v lokalni siti.

Dobrý den, rozjel jsem si NAT 1:1, vše funguje až na to, že klienti z lokální sítě třeba s ip adresou 192.168.10.10 si nepingnou veřejnou ip adresu, kterou má třeba jejich soused IP veřejná 1.1.1.1.

GW --- Router --- Klienti

Na GW mám

#POSTROUTING
iptables -t nat -I POSTROUTING -j SNAT -s $LOCAL_IP --to-source $PUBLIC_IP
#PREROUTING
iptables -t nat -I PREROUTING -j DNAT -d $PUBLIC_IP --to-destination $LOCAL_IP
#FORWARD
iptables -A FORWARD -i eth0 -d $LOCAL_IP -j ACCEPT

a na routeru povolený forward

iptables -A FORWARD -i eth0 -d $LOCAL_IP -j ACCEPT

Když jsem to tracoval, tak klient se dostane až na GW, ale už ne za něj a nevím v čem je chyba :( Byli byste ochotni mi pomoct nějaku šikovnou radou. Děkuji.

Odpovědi

Ahoj, z tvého popisu mi není moc jasné kam se nemůžeš dostat. Ta veřejná IP je někde venku za GW? Pokud ti jinak "všechno funguje", tak předpokládám, že na jiné veřejné adresy se dostaneš ... V čem je tedy z hlediska topologie sítě významná ta adresa, na kterou se nedostaneš?

Ideálně nahoď schéma i s konkrétními sítěmi na interfacech a konkrétními adresami, které nefungují ...

30.4.2008 12:34 xxx
Rozbalit Rozbalit vše Re: NAT 1:1+ z lokalni site nepignnu verejnou IP v lokalni siti.

Topologie

Internet - GW - Router - Klient1
                       - Klient2

Fyzicky mají oba nastavenou adresu, třeba 192.168.10.10 a 192.168.10.11. Uživatel 10.11 chce veřejnou adresu, takže ji povolim na routeru, aby překladal z veřejne 1.1.1.1 na ip 192.168.10.11. Takto to funguje, uživatel 10.11 na internetu vystupuje pod veřejnou ip 1.1.1.1. Pokud ale chce uživatel 10.10 přistupovat na veřejne IP souseda, tak se na něj nedostane. Pokud zadá lokální IP tak ano. Potřebuju aby se i z lokální sítě dostal na veřejnou IP adresu, která je umístěna ve stejné síti.

30.4.2008 13:50 Marble | skóre: 27 | blog: marble
Rozbalit Rozbalit vše Re: NAT 1:1+ z lokalni site nepignnu verejnou IP v lokalni siti.

Mám (máš? :) trochu chaos v tom, čemu říkáš router a čemu GW. Co ten FORWARD chain. To pravidlo, cos sem naspal je jediný accept a default policy je deny? To asi ne, to by ti nefungovalo nic. Co sem hodit ty pravidla komplet, ať nemusím hádat ... ? (nápověda: iptables-save) Každopádně jsi si jistý, že máš povolený forward z vnitřního rozhraní zpátky do vnitřní sítě?

A jen tak na okraj, co se třeba alespoň slušně podepsat, když už chceš tahat z lidí rady?

Chovani ktere pozorujes je naprosto v poradku. Pokud by jsi chtel aby lidi s verejnou IP byli pod tou verejnou IP videt i ve vnitrni siti, pouzij bud jinou variantu namisto NATu 1:1. Pokud mas mezi igw a klientem nejakej router, tak jina moznost neni.

Resenim je SNAT/DNAT na igw na vnitrnim rozhrani. Data jdou ale klient1->igw->klient2.

Lepsim resenim je DNS. zvenku bude klient1.tvojesit.cz prekladano na 1.1.1.1 a zevnitr se pouzije tvoje lokalni DNS a prelozi se to na 192.168.1.14

Zdenek

www.pirati.cz - s piráty do parlamentu i jinam www.gavanet.org - czfree varnsdorf

Dotaz: NAT 1:1+ z lokalni site nepignnu verejnou IP v lokalni siti.

Odpovědi