Re: Routing/NAT-Problem mit neuem Server
Note to myself.
Es tut - war meine eigene Dappigkeit :-(
iptables -t nat -A PREROUTING -d 10.10.178.40 -j DNAT --to
192.168.178.40
iptables -t nat -A POSTROUTING -s 192.168.178.40 -j SNAT --to
10.10.178.40
echo 1 > /proc/sys/net/ipv4/ip_forward
evtl noch den hier:
iptables -t filter -A FORWARD -j ACCEPT
Dann haste ein 1:1-NAT von 10.10 zu 192.168-netz...
Thomas
Am Dienstag, den 17.03.2009, 13:56 +0100 schrieb Thomas Halinka:
> Hallo lists@briel.de,
>
> realnamen sind hier eher üblich :-)
>
> Am Montag, den 16.03.2009, 21:55 +0100 schrieb lists@briel.de:
> > Hallo zusammen,
> >
> > wir haben hier aktuell Routing-Probleme mit einem neuen Server.
> >
> > Folgendes Setup:
> >
> > GW: 10.10.178.33
> > eth0: 10.10.178.35
> > eth1: 192.168.178.35
> > VM1: 192.168.178.40 10.10.178.40
> > VM2: 192.168.178.41 10.10.178.41
> > .......
> >
> >
> > VM1
> > /
> > GW - switch - eth0|eth1 - -- VM2
> > \
> > VM3
> >
> > PC1, PC2, PC3 sollen IPs aus dem 10.10.178.-er-Netz nutzen/bekommen.
> > Der switch
> > droppt leider alle Pakete ungleich der MAC-Adresse von eth0 (Port
> > Security) und wir möchten
> > allerdings die Dienste auf eigene Server auslagern bzw VMs. Deshalb
> > hatten wir uns nun ein
> > eignes Subnetz gebaut, indem wir noch zusätzlich interne Dienste
> > betreiben, allerdings müssen
> > eben die Rechner auch zentrale Dienste im 10.10.178-Netz bereitstellen?!
> >
> > Wie kann man denn sowas lösen?!
>
> Was sind das denn für VMs? kvm, xen, vmware?!
> Und alle sollen IPs aus dem 10.10.178-Netz bekommen, ja?
>
> Mal als Beispiel:
>
> Du hast eine Bridge, wo deine Gäste dranhängen, zb int-bridge (mit IP
> 192.168.178.1) und deine VMs haben zB .40,.41, etc und sollen eben per
> 10.10.178.40,.41,.42 erreichbar sein, ja?
>
> Richtig? dann weiter....
>
> Dann sollte folgendes helfen:
>
> - zusätzliche IP auf den Wirt
>
> ip addr add 10.10.178.40/24 dev eth0
>
> - NATting aktivieren im Wirt:
>
> iptables -t nat -A PREROUTING -d 10.10.178.40 -j DNAT --to
> 192.168.178.40
> iptables -t nat -A POSTROUTING -s 192.168.178.40 -j SNAT --to
> 10.10.178.40
> iptables -t filter -A FORWARD -j ACCEPT
> echo 1 > /proc/sys/net/ipv4/ip_forward
>
>
> Soweit die Theorie, leider klappte das bei mir im nachbau leider auch
> nicht :(
>
> Kann mir mal jemand erklären, was mir hier fehlt bzw _ich_ falsch mache,
> damit dem OP geholfen ist?!
>
> > - SNAT/DNAT?!
> >
> > eth0 hat alle 10.10.178.-IPs und NAT-ted diese?! geht das - wenn ja wie`?
> > Brauche ich da für jede IP ne Regel oder kann man das eleganter lösen?!
>
> Hui - ich denke dies geht nur per IP, wenn du 1:1-NAT machen magst.
>
> > - Point-to-point-routing?
> > - Source-Based Routing?!
> > - ebtables!?
>
> schon mal von gelesen :)
>
> > Kann mir das mal jemand erklären? Port-Security abstellen ist leider
> > eine etwas politischere Angelegenheit hier :-(
> >
> > Beste Grüße
>
> cu,
>
> thomas
>
>
Reply to: