Настройка NAT для выделеной "белой" сети

Автор: acidsting Дата: 24.02.2008 17:15 Добрый день!

Провайдер по adsl с белым ip (111.111.111.111) дает выход в интернет.
Также есть сеть белых адресов (120.120.120.1-120.120.120.Поражён. Маршрутизация этих адресов настроена провайдером на adsl канал.
В локальной сети есть вэб-сервер, почтовик, ftp.
Ставлю шлюз с операционкой asp11.2. Он же dns.

Поднимаю pppoe на сервере. даю алиас eth1:0 с адресом 120.120.120.7.
Снаружи есть пинг на 111.111.111.111 и 120.120.120.7
C dns проблем нет, тоже настроил.

Хочу настроить nat таким образом, чтобы эти 3 сервера "виделись" снаружи по 3-ем разным "белым" адресам (например 120.120.120.2,...3,...4).

По этому поводу перечитал кучу инфы. Кто говорит, что можно обойтись iptables'ами, кто - нужно перекомпилировать ядро.

Пробовал настроить iptables SNAT и DNAT не выходит. Пинга на 120.120.120.2,...3,...4 так и нет.

IPTABLES -I FORWARD -p tcp -d 192.168.100.2 --dport 25 -j ACCEPT
IPTABLES -I FORWARD -p udp -d 192.168.100.2 --dport 25 -j ACCEPT
IPTABLES -A FORWARD -d 192.168.100.3 -p tcp --dport 80 -j ACCEPT
IPTABLES -A FORWARD -d 192.168.100.4 -p tcp --dport 21 -j ACCEPT
IPTABLES -A FORWARD -d 192.168.100.4 -p tcp --dport 20 -j ACCEPT

IPTABLES -t nat -A PREROUTING -d 120.120.120.2 -j DNAT --to-destination 192.168.100.2
IPTABLES -t nat -A PREROUTING -d 120.120.120.3 -j DNAT --to-destination 192.168.100.3
IPTABLES -t nat -A PREROUTING -d 120.120.120.4 -j DNAT --to-destination 192.168.100.4

IPTABLES -t nat -A POSTROUTING -s 192.168.100.2 -j SNAT --to-source 120.120.120.2
IPTABLES -t nat -A POSTROUTING -s 192.168.100.3 -j SNAT --to-source 120.120.120.3
IPTABLES -t nat -A POSTROUTING -s 192.168.100.4 -j SNAT --to-source 120.120.120.4

echo 1 > /proc/sys/net/ipv4/ip_forward

Помогите, пожалуйста с настройкой NAT.
Re: Настройка NAT для выделеной "белой" сети 24.02.2008 17:30BigAndy Э-э-эм.... Адрес 111.111.111.111 вы называете "белым"?
Re: Настройка NAT для выделеной "белой" сети 24.02.2008 17:31acidsting К примеру
Re: Настройка NAT для выделеной "белой" сети 24.02.2008 18:28BigAndy >Хочу настроить nat таким образом, чтобы эти 3 сервера "виделись" снаружи по 3-ем разным "белым" адресам (например 120.120.120.2,...3,...4).
Вы хотите чтобы каждый в отдельности имел свой адрес? или чтобы все они "откликались" **по любому** из этих адресов?
Если вы выбрали первый вариант, то использование NAT в таком случае вызывает недоумение, ибо его назначение как раз скрыть реальные адреса.

Все же невкурил вашу топологию. Да и зачем поднимать pppoe на алиасе интерфейса?.
Re: Настройка NAT для выделеной "белой" сети 24.02.2008 19:02acidsting BigAndy писал:

> Вы хотите чтобы каждый в отдельности имел свой адрес?
Именно
> Если вы выбрали первый вариант, то использование NAT в таком
> случае вызывает недоумение, ибо его назначение как раз скрыть
> реальные адреса.
В этом случае поможет именно НАТ. Он нужен для того, чтобы имея один интернет-канал дать наружу сеть из n-адресов.
Случай нестандартный, т.к. обычно провайдер дает максимум 1 белый ip

> Все же невкурил вашу топологию. Да и зачем поднимать pppoe на
> алиасе интерфейса?.
Поднимаю pppoe на сервере. Поднимается как ppp0
Еще есть интерфейсы eth0 (смотрит в локалку) и eth1 (смотрит на модем)
даю алиас eth1:0 с адресом 120.120.120.7.
Снаружи есть пинг на 111.111.111.111 (ppp0) и 120.120.120.7 (eth1:0)
Таким образом проверяю как провайдер настроил маршруты.
Re: Настройка NAT для выделеной "белой" сети 24.02.2008 19:27BigAndy >В этом случае поможет именно НАТ
Ну, вам виднее.

>Он нужен для того, чтобы имея один интернет-канал дать наружу сеть из n-адресов
Он совсем не нужен. Создайте алиасы или поднимите более одного pppX интерфейса и назначте каждому свой ip.
Как-то провайдеры справляются с хостингом на сотни ip-шников по одному-двум физическим каналам....

Ну, как вариант устройте модем как роутер и разрешите там DMZ. Тогда даже на компьютере не придется поднимать ppp интерфейс.

Такие вопросы решает, например plаnet 311xxxx, dlink 7x4, 8x4 и прочие девайсины.
Re: Настройка NAT для выделеной "белой" сети 24.02.2008 22:41acidsting >Он совсем не нужен. Создайте алиасы или поднимите более одного pppX >интерфейса и назначте каждому свой ip.
>Как-то провайдеры справляются с хостингом на сотни ip-шников по одному-двум >физическим каналам....

Интересная теория. Можно подробнее?
Re: Настройка NAT для выделеной "белой" сети 24.02.2008 22:53BigAndy Это не теория - это пратика.
Что именно нужно подробнее?
Re: Настройка NAT для выделеной "белой" сети 25.02.2008 00:16acidsting >Что именно нужно подробнее?

Как говорилось, есть сетка белых адресов. Каким образом можно "открыть" наружу 3 сервера с 3 выделенными ip, привязанными к каждому серверу.

Обязательным условием будет наличие шлюза, на котором поднимается pppoe
Re: Настройка NAT для выделеной "белой" сети 25.02.2008 00:25BigAndy Во первых: на одном физическом канале можно поднять три соединения pppoe.
Если у вас хороший модем, то он умеет это делать.
Если у вас просто комп с тремя сетевыми картами, то на каждый интерфейс приется поднять pppoe
Если у вас один комп с одной сетевой картой, то создать алиасы и поднять pppoe на каждом из алиасов.

Вариантов масса.
Re: Настройка NAT для выделеной "белой" сети 25.02.2008 10:06acidsting >Во первых: на одном физическом канале можно поднять три соединения pppoe.
>Если у вас хороший модем, то он умеет это делать.
>Если у вас просто комп с тремя сетевыми картами, то на каждый интерфейс >приется поднять pppoe
>Если у вас один комп с одной сетевой картой, то создать алиасы и поднять >pppoe на каждом из алиасов.
>

смысл всего этого не вижу. Поднял алиасами еще 3 интерфейса из той сетки с "белыми" адресами. Они пингуются снаружи. И что дальше?

дело в том, что внутренний интерфейс шлюза подключен к свичу. В этот же свитч подключены вэб сервер, почта и ftp.

Как сделать "видимыми" эти серверы из интернета?
Re: Настройка NAT для выделеной "белой" сети 25.02.2008 12:33BigAndy >Они пингуются снаружи. И что дальше?
Они могут снаружи и не пинговаться. По крайней мере не для всех.
А дальше настраиваете свои сервисы/демоны/северы. Все очень прозаично.

>Как сделать "видимыми" эти серверы из интернета?
еще раз говорю: пока никаких предпосылок, чтобы эти серверы были бы невидимыми извне - нету. По крайней мере исходя из тех данных, которые вы приели.
Для квалифицированного ответа необходимо знать топологию

NAT как раз делается для того, чтобы замаскирвать реальный ip сети, расположеной за NAT.

НО никогда никому не было запрещено разрабатывать новые решения. Может быть сетевому сообществу ваша топология поажется уникально-замечательной.
Re: Настройка NAT для выделеной "белой" сети 25.02.2008 17:06acidsting Спасибо за помощь, буду копать дальше.
Re: Настройка NAT для выделеной "белой" сети 27.02.2008 18:23Cherepulya На внешний сетевой интерфейс роутера альясами вешаем все нужные белые адреса.

предположим
120.120.120.2
120.120.120.3
120.120.120.4

Проверяем или эти адреса на доступность снаружи.


Во внутренней подсети у нас три сервера которые нужно выставить наружу под белыми адресами. Сервера внутри сети имеют свои внутренние адреса
192.168.100.2
192.168.100.3
192.168.100.4

Теперь пробуем НАТ

IPTABLES -A FORWARD -d 192.168.100.2 -j ACCEPT
IPTABLES -A FORWARD -d 192.168.100.3 -j ACCEPT
IPTABLES -A FORWARD -d 192.168.100.4 -j ACCEPT

IPTABLES -t nat -A PREROUTING -d 120.120.120.2 -j DNAT --to-destination 192.168.100.2
IPTABLES -t nat -A PREROUTING -d 120.120.120.3 -j DNAT --to-destination 192.168.100.3
IPTABLES -t nat -A PREROUTING -d 120.120.120.4 -j DNAT --to-destination 192.168.100.4

В качестве шлюза на внутренних серверах должен быть указан Ай-Пи внутреннего интерфейса шлюза.

Проверяем. По необходимости добавляем:

IPTABLES -t nat -A POSTROUTING -s 192.168.100.2 -j SNAT --to-source 120.120.120.2
IPTABLES -t nat -A POSTROUTING -s 192.168.100.3 -j SNAT --to-source 120.120.120.3
IPTABLES -t nat -A POSTROUTING -s 192.168.100.4 -j SNAT --to-source 120.120.120.4

echo 1 > /proc/sys/net/ipv4/ip_forward
Re: Настройка NAT для выделеной "белой" сети 01.03.2008 23:47pyatanov BigAndy писал(а):

> NAT как раз делается для того, чтобы замаскирвать реальный ip
> сети, расположеной за NAT.

вот тут позвольте не согласится - NAT это трансляция адресов
SNAT - да это позволяет "замакировать" адрес в сети (не говорю реальный так как привык называть реальным адресом адрес в интернет но не как а не белым). Хотя я думаю замаскировать то не самое главное думаю что важнее было разрешить многом пользователям выходить в сеть используя дин реальный адрес. SNAT это трансляця адреса источника.
DNAT - делает обретное - изменяет адрес назначения. Собственно говоря это именно то что нам в данном случае и надо.

Приведенные в самом начале скрипты должны работать. Все три реальных адреса должны быть подняты на шлюзе . WWW mail и ftp подняты внутри сети а машинах с внутренними адресами.
Судя по правилам пинги работать не могут.
Re: Настройка NAT для выделеной "белой" сети 02.03.2008 00:21acidsting Спасибо, товарищи! Все заработало

BigAndy, учитесь. Один ответ и "в точку"...
Re: Настройка NAT для выделеной "белой" сети 02.03.2008 00:39BigAndy >BigAndy, учитесь. Один ответ и "в точку"...
НУдык! У вас если заработало так, я искренне рад за вас!. Хотя ничего нового предыдущим топегом не сказано. pyatanov, видимо напряг своих телепатов Улыбка

У меня другое видение этой проблеммы. Изначальное назначение NAT - именоо то, что pyatanov обозначает как snat. Побочным свойством стало применение этого протокола для раздачи трафика многим компьютерам через один сетевой интерфейс. Однако в пиковых ситуациях могут возникать коллизии пакетов, что недопустимо для серверов.

Раздавать инет пользователям можно и десятком других способов. Можно просто настроить маршрутизатор. Но тогда любой тупой хацкер сможет исследовать топологию вашей внутренней (то есть той, котороая расположен за маршрутизатором).сети.
Это вопрос предпочтений.
В наших сетях iptables настраиваются на маршрутизаторах, имеющих внешний интерфейс, который вы называете "белым адресом". Чтобы потом не настраивать на каждой машине внутренней сети. Туннели прокладываются тоже средствами именно этих маршрутизаторов.
Это всего лиш навсего вопрос религии.. У нас она такая. Мы не прячим серверы за NAT. Это позволяет упростить архитектуру сети и уменьшить паразитный трафик процентов так на 30.
Re: Настройка NAT для выделеной "белой" сети 02.03.2008 16:08pyatanov BigAndy писал(а):
>
> Раздавать инет пользователям можно и десятком других способов.
> Можно просто настроить маршрутизатор.
Да можно, но тогда ВСЕМ компам в вашей сети придется назначить реальный IP что в подавляющем числе случаев не представляется возможным. Использовать адреса типа 192.168.х.x НЕЛЬЗЯ (впрочем как и два друих диапозона выделенных для чатных сетей)
Re: Настройка NAT для выделеной "белой" сети 02.03.2008 17:38BigAndy Но речь как раз идет о настройке трех компьютеров с реальными IP.И какой смысл прятать их за NAT.
НЕ, ну конечно DMZ рулит, но при этом и все абоненты внутренней сети смогут увидеть непредназначенный для них траффик. Ну Либо возиться с "пробрсванием портов"...
Re: Настройка NAT для выделеной "белой" сети 02.03.2008 17:50pyatanov BigAndy писал(а):

> Но речь как раз идет о настройке трех компьютеров с реальными
> IP.И какой смысл прятать их за NAT.
> НЕ, ну конечно DMZ рулит,

Здесь у меня возникает другой вопрос - а зачем ТРИ сервера?
но это уже не нам решать.......
а если я правильно понимаю DMZ должен находится в отдельном сегменте сети который подключается к роутеру через отдельный сетевой интерфейс. И пробрасывать стоит только требуемые порты - что затруднит взлом системы а в некоторый случаях защиит ваши сервера от вирусов
RSS-материал