[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Routing/NAT-Problem mit neuem Server



Am Montag, 16. März 2009 schrieb lists@briel.de:
> Hallo zusammen,

Moin lists@briel.de,

> wir haben hier aktuell Routing-Probleme mit einem neuen Server.

>
>                             VM1
>                             /
> GW - switch - eth0|eth1 - -- VM2
>                             \
>                               VM3
>
> PC1, PC2, PC3 sollen IPs aus dem 10.10.178.-er-Netz nutzen/bekommen.
> Der switch
> droppt leider alle Pakete ungleich der MAC-Adresse von eth0 (Port
> Security) und wir möchten
> allerdings die Dienste auf eigene Server auslagern bzw VMs. Deshalb
> hatten wir uns nun ein
> eignes Subnetz gebaut, indem wir noch zusätzlich interne Dienste
> betreiben, allerdings müssen
> eben die Rechner auch zentrale Dienste im 10.10.178-Netz
> bereitstellen?!
>
> Wie kann man denn sowas lösen?!
>
> - SNAT/DNAT?!
>
>    eth0 hat alle 10.10.178.-IPs und NAT-ted diese?! geht das - wenn
> ja wie`? Brauche ich da für jede IP ne Regel oder kann man das
> eleganter lösen?!

Ohne jetzt viel von solchen Aufbauten zu verstehen, aber meine VMs 
(bridged auf eth0) kommen mittels eines kleinen Scrips ins Internet:

                                  VM1
                                   /
ISP per ISDN- ippp0|eth0 - -- VM2
                                   \
                                    VM3

--SNIP--
#!/bin/tcsh
modprobe ip_tables
set IPTABLES = /sbin/iptables
set EXT = ippp0
set INT = eth0
echo "1" > /proc/sys/net/ipv4/ip_forward                        # on
# default policy and flush
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -F            # flush all chains (filter)
$IPTABLES -t nat -F     # flush all chains (nat)
$IPTABLES -X            # delete all userdefined chains (filter)

# masquerading
$IPTABLES -t nat -A POSTROUTING -o $EXT -j MASQUERADE
--SNIP--

Macht nichts als alle evtl. bestehenden Regeln zu löschen, IP-Forward 
einzuschalten und Masquerade für das ausgehende Device einzuschalten.

> Kann mir das mal jemand erklären? Port-Security abstellen ist leider
> eine etwas politischere Angelegenheit hier :-(
>
> Beste Grüße
Tschüss
dirk


Reply to: