[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Routing/NAT-Problem mit neuem Server

Note to myself.

Es tut - war meine eigene Dappigkeit :-(

iptables -t nat -A PREROUTING -d 10.10.178.40  -j DNAT --to
192.168.178.40
iptables -t nat -A POSTROUTING -s 192.168.178.40 -j SNAT --to
10.10.178.40
echo 1 > /proc/sys/net/ipv4/ip_forward

evtl noch den hier:
iptables -t filter -A FORWARD -j ACCEPT

Dann haste ein 1:1-NAT von 10.10 zu 192.168-netz...


Thomas

Am Dienstag, den 17.03.2009, 13:56 +0100 schrieb Thomas Halinka:
> Hallo lists@briel.de,
> 
> realnamen sind hier eher üblich :-)
> 
> Am Montag, den 16.03.2009, 21:55 +0100 schrieb lists@briel.de:
> > Hallo zusammen,
> > 
> > wir haben hier aktuell Routing-Probleme mit einem neuen Server.
> > 
> > Folgendes Setup:
> > 
> > GW:     10.10.178.33
> > eth0:    10.10.178.35
> > eth1:    192.168.178.35
> > VM1:     192.168.178.40           10.10.178.40
> > VM2:     192.168.178.41           10.10.178.41
> > .......
> > 
> > 
> >                             VM1
> >                             /
> > GW - switch - eth0|eth1 - -- VM2
> >                             \
> >                               VM3
> > 
> > PC1, PC2, PC3 sollen IPs aus dem 10.10.178.-er-Netz nutzen/bekommen.  
> > Der switch
> > droppt leider alle Pakete ungleich der MAC-Adresse von eth0 (Port  
> > Security) und wir möchten
> > allerdings die Dienste auf eigene Server auslagern bzw VMs. Deshalb  
> > hatten wir uns nun ein
> > eignes Subnetz gebaut, indem wir noch zusätzlich interne Dienste  
> > betreiben, allerdings müssen
> > eben die Rechner auch zentrale Dienste im 10.10.178-Netz bereitstellen?!
> > 
> > Wie kann man denn sowas lösen?!
> 
> Was sind das denn für VMs? kvm, xen, vmware?!
> Und alle sollen IPs aus dem 10.10.178-Netz bekommen, ja?
> 
> Mal als Beispiel:
> 
> Du hast eine Bridge, wo deine Gäste dranhängen, zb int-bridge (mit IP
> 192.168.178.1) und deine VMs haben zB .40,.41, etc und sollen eben per
> 10.10.178.40,.41,.42 erreichbar sein, ja?
> 
> Richtig? dann weiter....
> 
> Dann sollte folgendes helfen:
> 
> - zusätzliche IP auf den Wirt
> 
>   ip addr add 10.10.178.40/24 dev eth0
> 
> - NATting aktivieren im Wirt:
> 
>   iptables -t nat -A PREROUTING -d 10.10.178.40  -j DNAT --to
> 192.168.178.40
>   iptables -t nat -A POSTROUTING -s 192.168.178.40 -j SNAT --to
> 10.10.178.40
>   iptables -t filter -A FORWARD -j ACCEPT
>   echo 1 > /proc/sys/net/ipv4/ip_forward
> 
> 
> Soweit die Theorie, leider klappte das bei mir im nachbau leider auch
> nicht :(
> 
> Kann mir mal jemand erklären, was mir hier fehlt bzw _ich_ falsch mache,
> damit dem OP geholfen ist?!
> 
> > - SNAT/DNAT?!
> > 
> >    eth0 hat alle 10.10.178.-IPs und NAT-ted diese?! geht das - wenn ja wie`?
> >    Brauche ich da für jede IP ne Regel oder kann man das eleganter lösen?!
> 
> Hui - ich denke dies geht nur per IP, wenn du 1:1-NAT machen magst.
> 
> > - Point-to-point-routing?
> > - Source-Based Routing?!
> > - ebtables!?
> 
> schon mal von gelesen :)
> 
> > Kann mir das mal jemand erklären? Port-Security abstellen ist leider  
> > eine etwas politischere Angelegenheit hier :-(
> > 
> > Beste Grüße
> 
> cu,
> 
> thomas
> 
>
Reply to: