Re: Real IP behind NAT

To: <debian-russian@lists.debian.org>
Subject: Re: Real IP behind NAT
From: "Alexander" <alk@dasmico.com.mx>
Date: Sat, 24 Apr 2004 14:54:20 -0600
Message-id: <[🔎] 003901c42a3e$511dc160$5a010a0a@aster>
References: <[🔎] 007001c429dc$db081360$5a010a0a@aster> <[🔎] 408A460B.4040909@0n.ru>

Привет.

> > Посоветуйте плз.
> > Есть сеть, за NAT, некоторые компы с реальными адресами.
> > Хотелось бы чтоб они нормально в инет ходили (и из инета в них ходили),
и с
> > компами в приватном ранге общались.
>
> Есть два варианта. Первый - обычная маршрутизация: внешние адреса
> вешаются алиасом на внутренних хостах. Для того, чтобы хост ходил наружу
> от внешнего адреса необходимо чтобы адрес шлюза был в той же сети,  что
> и этот адрес (в linux, конечно, можно и без этого вывернуться, но в
> общем случае это так). Поэтому один из адресов придётся повесить алиасом
> на внутреннем интерфейсе роутера. Тут могут возникнуть некоторые
А ничего если адреса не подряд а надерганы из одного класса C ("C", да? где
маска 24 бита)?

> тонкости с назначением сетевых масок и управлением маршрутизацией и их
> можно решать разными способами. Я предлагаю назначить алиасу маску
> внешней сети, а внешнему интерфейсу - маску /32. Возможно (в связи с
> "переползанием" внешней сети вовнутрь) потребуется прописать прямую
> маршрутизацию к роутеру провайдера через roure add isp_ip dev ...
Дело в том что это не провайдер, а лаборатория в институсткой сети.
Стандартно у все компы в одной и той-же сетке, что не есть хороше, так что
сегметируем потихоньку. Проблема с некоторыми "продвинытыми" которые на дыбы
встали и хотят оставить за собой реальный IP (это же сокровище такое...),
вот и изворачиваюсь.

> Второй вариант - прозрачный NAT внутрь/наружу:
> iptables -A PREROUTING -t nat -d ext_ip -j DNAT --to-destination int_ip
> iptables -A POSTROUTING -t nat -s int_ip -j SNAT --to-source ext_ip
Т.е. все реальные IP принадлежат рутеру, сидят на наружном интерфейсе, но
сам он пользуется только одним, а остальные передает внутырь, так?

> P.S. И не забудте прописать соответствующие правила в FORWARD, если там
> по умолчанию не ACCEPT.
угум.

Я так думаю, маверное можно скомбинировать. Чтоб каждый адрес существовал 2
раза, один на наружноном интерфейся (рутера) а другой на внутреннем (рутера
или киента), Между каждой парой мостик NAT'ом, и вручную прописать таблицы
маршрутизации. Дело?

Reply to:

Follow-Ups:
- Re[2]: Real IP behind NAT
  - From: Toxa <postfix@sendmail.ru>
- Re: Real IP behind NAT
  - From: Slava Astashonok <sla@0n.ru>

References:
- Real IP behind NAT
  - From: "Alexander" <alk@dasmico.com.mx>
- Re: Real IP behind NAT
  - From: Slava Astashonok <sla@0n.ru>

Prev by Date: Re: make-kpkg 8.082 + kernel 2.6.5 = broken?
Next by Date: Re: make-kpkg 8.082 + kernel 2.6.5 = broken?
Previous by thread: Re: Real IP behind NAT
Next by thread: Re[2]: Real IP behind NAT
Index(es):
- Date
- Thread