Re: Routing/NAT-Problem mit neuem Server
Am Montag, 16. März 2009 schrieb lists@briel.de:
> Hallo zusammen,
Moin lists@briel.de,
> wir haben hier aktuell Routing-Probleme mit einem neuen Server.
>
> VM1
> /
> GW - switch - eth0|eth1 - -- VM2
> \
> VM3
>
> PC1, PC2, PC3 sollen IPs aus dem 10.10.178.-er-Netz nutzen/bekommen.
> Der switch
> droppt leider alle Pakete ungleich der MAC-Adresse von eth0 (Port
> Security) und wir möchten
> allerdings die Dienste auf eigene Server auslagern bzw VMs. Deshalb
> hatten wir uns nun ein
> eignes Subnetz gebaut, indem wir noch zusätzlich interne Dienste
> betreiben, allerdings müssen
> eben die Rechner auch zentrale Dienste im 10.10.178-Netz
> bereitstellen?!
>
> Wie kann man denn sowas lösen?!
>
> - SNAT/DNAT?!
>
> eth0 hat alle 10.10.178.-IPs und NAT-ted diese?! geht das - wenn
> ja wie`? Brauche ich da für jede IP ne Regel oder kann man das
> eleganter lösen?!
Ohne jetzt viel von solchen Aufbauten zu verstehen, aber meine VMs
(bridged auf eth0) kommen mittels eines kleinen Scrips ins Internet:
VM1
/
ISP per ISDN- ippp0|eth0 - -- VM2
\
VM3
--SNIP--
#!/bin/tcsh
modprobe ip_tables
set IPTABLES = /sbin/iptables
set EXT = ippp0
set INT = eth0
echo "1" > /proc/sys/net/ipv4/ip_forward # on
# default policy and flush
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -F # flush all chains (filter)
$IPTABLES -t nat -F # flush all chains (nat)
$IPTABLES -X # delete all userdefined chains (filter)
# masquerading
$IPTABLES -t nat -A POSTROUTING -o $EXT -j MASQUERADE
--SNIP--
Macht nichts als alle evtl. bestehenden Regeln zu löschen, IP-Forward
einzuschalten und Masquerade für das ausgehende Device einzuschalten.
> Kann mir das mal jemand erklären? Port-Security abstellen ist leider
> eine etwas politischere Angelegenheit hier :-(
>
> Beste Grüße
Tschüss
dirk
Reply to: