Nat a zewn
Nat a zewnętrzny adres IP w sieci
Cześć mam coś takiego. Sieć z kilkoma adresami zewnętrznymi ip dostarczone przez dostawce internetu i poprzez switch rozprowadzam je do komputerów. Jednak chcę wydzielić część fizycznej sieci jako nat, za serwerem (mam to już zrobione i działa) ale chciałbym by któryś z tych komputerów (za serwerem w nat) miał zewnętrzny adres IP. Czyli by był otwarty na zewnątrz na wszystkich portach bez restrykcji serwera który postawiłem. Mam nadzieje że pytam jasno. Proszę o podpowiedź czym się zainteresować...
Rozumiem że komputer ma mieć np 192.168.1.2 i na niego ma być przekierowany ruch adresu zewnętrznego. Tak?mariaczi pisze:1. Możesz zrobić przekierowanie publicznego adresu IP na adres lokalny tej maszyny, która ma być wystawiona na świat i tak skonfigurować firewalla na pierwszym serwerze, aby ruch idący z/na to IP był akceptowany (przez ów firewall).
I łopatologicznie jaka regułka do iptables...? na przekierowanie jakie chcę
http://linux-ip.net/html/nat-dnat.html
Przykład 5.5. lub 5.7.
Przykład 5.5. lub 5.7.
[mam nadzieję że brak tłumaczenia zostanie wybaczone, a wklejam bo okrutnie nie lubię jak znajduję posta z linkiem do przykładu, który już nie działa]5.5. Destination NAT with netfilter (DNAT)
Destination NAT with netfilter is commonly used to publish a service from an internal RFC 1918 network to a publicly accessible IP. To enable DNAT, at least one iptables command is required. The connection tracking mechanism of netfilter will ensure that subsequent packets exchanged in either direction (which can be identified as part of the existing DNAT connection) are also transformed.
In a devilishly subtle difference, netfilter DNAT does not cause the kernel to answer ARP requests for the NAT IP, where iproute2 NAT automatically begins answering ARP requests for the NAT IP.
Example 5.5. Using DNAT for all protocols (and ports) on one IP
[TABLE="width: 90%"]
[TR]
[TD][root@real-server]# iptables -t nat -A PREROUTING -d 10.10.20.99 -j DNAT --to-destination 10.10.14.2[/TD]
[/TR]
[/TABLE]
In this example, all packets arriving on the router with a destination of 10.10.20.99 will depart from the router with a destination of 10.10.14.2.
Example 5.6. Using DNAT for a single port
[TABLE="width: 90%"]
[TR]
[TD][root@real-server]# iptables -t nat -A PREROUTING -p tcp -d 10.10.20.99 --dport 80 -j DNAT --to-destination 10.10.14.2[/TD]
[/TR]
[/TABLE]
Full network address translation, as performed with iproute2 can be simulated with both netfilter SNAT and DNAT, with the potential benefit (and attendent resource consumption) of connection tracking.
Example 5.7. Simulating full NAT with SNAT and DNAT
[TABLE="width: 90%"]
[TR]
[TD][root@real-server]# iptables -t nat -A PREROUTING -d 205.254.211.17 -j DNAT --to-destination 192.168.100.17 [root@real-server]# iptables -t nat -A POSTROUTING -s 192.168.100.17 -j SNAT --to-destination 205.254.211.17[/TD]
[/TR]
[/TABLE]
iptables v1.4.10: unknown option `--to-destination'
Try `iptables -h' or 'iptables --help' for more information.
hmmm. Dodam że niestety jestem bardzo początkujący jeśli chodzi o iptables. Korzystam zazwyczaj z firewalla poprzez aplikacje w gui...
A wracając do DMZ - z tego co rozumiem to musi być podpięte do serwera pod osobną kartę sieciową?
eth0 zewnętrzne
eth1 sieć wewnętrzna
eth2 DMZ?
a jak to robią w sieciach na osiedlach gdy możemy wystąpić o zewnętrzny IP i go dają np jak u mnie w domu za 0zł...
Try `iptables -h' or 'iptables --help' for more information.
hmmm. Dodam że niestety jestem bardzo początkujący jeśli chodzi o iptables. Korzystam zazwyczaj z firewalla poprzez aplikacje w gui...
A wracając do DMZ - z tego co rozumiem to musi być podpięte do serwera pod osobną kartę sieciową?
eth0 zewnętrzne
eth1 sieć wewnętrzna
eth2 DMZ?
a jak to robią w sieciach na osiedlach gdy możemy wystąpić o zewnętrzny IP i go dają np jak u mnie w domu za 0zł...
Poruszasz temat trochę obszerny zwłaszcza bez znajomości iptables. Zerknij tutaj, masz przykłady przekierowań.
http://www.debian-administration.org/articles/73
http://www.aboutdebian.com/firewall.htm
Jest mnóstwo gotowych skryptów w internecie dla iptables.
http://www.debian-administration.org/articles/73
http://www.aboutdebian.com/firewall.htm
Jest mnóstwo gotowych skryptów w internecie dla iptables.