Strona 1 z 1
Nat a zewnętrzny adres IP w sieci
: 06 czerwca 2012, 08:57
autor: gaijin
Cześć mam coś takiego. Sieć z kilkoma adresami zewnętrznymi ip dostarczone przez dostawce internetu i poprzez switch rozprowadzam je do komputerów. Jednak chcę wydzielić część fizycznej sieci jako nat, za serwerem (mam to już zrobione i działa) ale chciałbym by któryś z tych komputerów (za serwerem w nat) miał zewnętrzny adres IP. Czyli by był otwarty na zewnątrz na wszystkich portach bez restrykcji serwera który postawiłem. Mam nadzieje że pytam jasno. Proszę o podpowiedź czym się zainteresować...
: 06 czerwca 2012, 11:57
autor: mariaczi
1. Możesz zrobić przekierowanie publicznego adresu IP na adres lokalny tej maszyny, która ma być wystawiona na świat i tak skonfigurować firewalla na pierwszym serwerze, aby ruch idący z/na to IP był akceptowany (przez ów firewall).
2. Skorzystać z proxy_arp.
: 07 czerwca 2012, 00:56
autor: Andyk
A strefa DMZ?
: 11 czerwca 2012, 10:56
autor: gaijin
mariaczi pisze:1. Możesz zrobić przekierowanie publicznego adresu IP na adres lokalny tej maszyny, która ma być wystawiona na świat i tak skonfigurować firewalla na pierwszym serwerze, aby ruch idący z/na to IP był akceptowany (przez ów firewall).
Rozumiem że komputer ma mieć np 192.168.1.2 i na niego ma być przekierowany ruch adresu zewnętrznego. Tak?
I łopatologicznie jaka regułka do iptables...? na przekierowanie jakie chcę
: 15 czerwca 2012, 14:28
autor: sethiel
http://linux-ip.net/html/nat-dnat.html
Przykład 5.5. lub 5.7.
5.5. Destination NAT with netfilter (DNAT)
Destination NAT with netfilter is commonly used to publish a service from an internal RFC 1918 network to a publicly accessible IP. To enable DNAT, at least one
iptables command is required. The connection tracking mechanism of netfilter will ensure that subsequent packets exchanged in either direction (which can be identified as part of the existing DNAT connection) are also transformed.
In a devilishly subtle difference, netfilter DNAT does not cause the kernel to answer ARP requests for the NAT IP, where
iproute2 NAT automatically begins
answering ARP requests for the NAT IP.
Example 5.5. Using DNAT for all protocols (and ports) on one IP
[TABLE="width: 90%"]
[TR]
[TD][root@real-server]#
iptables -t nat -A PREROUTING -d 10.10.20.99 -j DNAT --to-destination 10.10.14.2[/TD]
[/TR]
[/TABLE]
In this example, all packets arriving on the router with a destination of 10.10.20.99 will depart from the router with a destination of 10.10.14.2.
Example 5.6. Using DNAT for a single port
[TABLE="width: 90%"]
[TR]
[TD][root@real-server]#
iptables -t nat -A PREROUTING -p tcp -d 10.10.20.99 --dport 80 -j DNAT --to-destination 10.10.14.2[/TD]
[/TR]
[/TABLE]
Full network address translation, as performed with
iproute2 can be simulated with both netfilter SNAT and DNAT, with the potential benefit (and attendent resource consumption) of connection tracking.
Example 5.7. Simulating full NAT with SNAT and DNAT
[TABLE="width: 90%"]
[TR]
[TD][root@real-server]#
iptables -t nat -A PREROUTING -d 205.254.211.17 -j DNAT --to-destination 192.168.100.17 [root@real-server]#
iptables -t nat -A POSTROUTING -s 192.168.100.17 -j SNAT --to-destination 205.254.211.17[/TD]
[/TR]
[/TABLE]
[mam nadzieję że brak tłumaczenia zostanie wybaczone, a wklejam bo okrutnie nie lubię jak znajduję posta z linkiem do przykładu, który już nie działa]
: 18 czerwca 2012, 13:43
autor: gaijin
iptables v1.4.10: unknown option `--to-destination'
Try `iptables -h' or 'iptables --help' for more information.
hmmm. Dodam że niestety jestem bardzo początkujący jeśli chodzi o iptables. Korzystam zazwyczaj z firewalla poprzez aplikacje w gui...
A wracając do DMZ - z tego co rozumiem to musi być podpięte do serwera pod osobną kartę sieciową?
eth0 zewnętrzne
eth1 sieć wewnętrzna
eth2 DMZ?
a jak to robią w sieciach na osiedlach gdy możemy wystąpić o zewnętrzny IP i go dają np jak u mnie w domu za 0zł...
: 21 czerwca 2012, 01:12
autor: Andyk
Poruszasz temat trochę obszerny zwłaszcza bez znajomości iptables. Zerknij tutaj, masz przykłady przekierowań.
http://www.debian-administration.org/articles/73
http://www.aboutdebian.com/firewall.htm
Jest mnóstwo gotowych skryptów w internecie dla iptables.
: 21 czerwca 2012, 08:30
autor: gaijin
Powiem tak. Mam opensuse z jego firewallem i modyfikuje wynik iptables-save restorując go po moich zmianach. Nie jestem początkujący jeśli chodzi o linuksa - doczytam dzięki.
: 21 czerwca 2012, 14:04
autor: Andyk
Nie oceniłem Cię jako początkującego użytkownika Linuxa. Sam napisałeś, że:
Dodam że niestety jestem bardzo początkujący jeśli chodzi o iptables.
Podesłałem Ci artykuły na temat DMZ i przekierowania portów. Masz tam przykład jak zrobić przekierowanie, aby można było połączyć się na port 80.