Re: Routing/NAT-Problem mit neuem Server

To: debian-user-german@lists.debian.org
Cc: debian-user-german@lists.debian.org
Subject: Re: Routing/NAT-Problem mit neuem Server
From: Thomas Halinka <lists@thohal.de>
Date: Tue, 17 Mar 2009 13:56:52 +0100
Message-id: <1237294612.24437.9.camel@ubu32>
Reply-to: lists@thohal.de
In-reply-to: <20090316215505.80606h1tluql5sgs@briel.de>
References: <20090316215505.80606h1tluql5sgs@briel.de>

Hallo lists@briel.de,

realnamen sind hier eher üblich :-)

Am Montag, den 16.03.2009, 21:55 +0100 schrieb lists@briel.de:
> Hallo zusammen,
> 
> wir haben hier aktuell Routing-Probleme mit einem neuen Server.
> 
> Folgendes Setup:
> 
> GW:     10.10.178.33
> eth0:    10.10.178.35
> eth1:    192.168.178.35
> VM1:     192.168.178.40           10.10.178.40
> VM2:     192.168.178.41           10.10.178.41
> .......
> 
> 
>                             VM1
>                             /
> GW - switch - eth0|eth1 - -- VM2
>                             \
>                               VM3
> 
> PC1, PC2, PC3 sollen IPs aus dem 10.10.178.-er-Netz nutzen/bekommen.  
> Der switch
> droppt leider alle Pakete ungleich der MAC-Adresse von eth0 (Port  
> Security) und wir möchten
> allerdings die Dienste auf eigene Server auslagern bzw VMs. Deshalb  
> hatten wir uns nun ein
> eignes Subnetz gebaut, indem wir noch zusätzlich interne Dienste  
> betreiben, allerdings müssen
> eben die Rechner auch zentrale Dienste im 10.10.178-Netz bereitstellen?!
> 
> Wie kann man denn sowas lösen?!

Was sind das denn für VMs? kvm, xen, vmware?!
Und alle sollen IPs aus dem 10.10.178-Netz bekommen, ja?

Mal als Beispiel:

Du hast eine Bridge, wo deine Gäste dranhängen, zb int-bridge (mit IP
192.168.178.1) und deine VMs haben zB .40,.41, etc und sollen eben per
10.10.178.40,.41,.42 erreichbar sein, ja?

Richtig? dann weiter....

Dann sollte folgendes helfen:

- zusätzliche IP auf den Wirt

  ip addr add 10.10.178.40/24 dev eth0

- NATting aktivieren im Wirt:

  iptables -t nat -A PREROUTING -d 10.10.178.40  -j DNAT --to
192.168.178.40
  iptables -t nat -A POSTROUTING -s 192.168.178.40 -j SNAT --to
10.10.178.40
  iptables -t filter -A FORWARD -j ACCEPT
  echo 1 > /proc/sys/net/ipv4/ip_forward


Soweit die Theorie, leider klappte das bei mir im nachbau leider auch
nicht :(

Kann mir mal jemand erklären, was mir hier fehlt bzw _ich_ falsch mache,
damit dem OP geholfen ist?!

> - SNAT/DNAT?!
> 
>    eth0 hat alle 10.10.178.-IPs und NAT-ted diese?! geht das - wenn ja wie`?
>    Brauche ich da für jede IP ne Regel oder kann man das eleganter lösen?!

Hui - ich denke dies geht nur per IP, wenn du 1:1-NAT machen magst.

> - Point-to-point-routing?
> - Source-Based Routing?!
> - ebtables!?

schon mal von gelesen :)

> Kann mir das mal jemand erklären? Port-Security abstellen ist leider  
> eine etwas politischere Angelegenheit hier :-(
> 
> Beste Grüße

cu,

thomas

Reply to:

Follow-Ups:
- Re: Routing/NAT-Problem mit neuem Server
  - From: Thomas Halinka <lists@thohal.de>

References:
- Routing/NAT-Problem mit neuem Server
  - From: lists@briel.de

Prev by Date: Re: Torrent Download (Damned Vulnerable Linux)
Next by Date: Openldap - Speicherort des Adminpasswortes?
Previous by thread: Re: Routing/NAT-Problem mit neuem Server
Next by thread: Re: Routing/NAT-Problem mit neuem Server
Index(es):
- Date
- Thread