iptables snat

0

1

Доброго времени суток. Товарищи помогите настроить сеть. Есть шлюз на CentOS release 5.7. Он смотрит в инет с интерфейсом eth0, так же он шлюз для двух локальных сеток: eth1 ip 192.168.1.1 и eth1:1 192.168.11.1 Что бы внутренние сети между собой общались включил форвард. Нужно реализовать следующие что бы пакеты которые идут с подсети 192.168.1.0/24 в подсеть 192.168.11.0/24 а именно к ip 192.168.11.11 приходили с одного ip адреса например того же самого шлюза 1 подсети 192.168.1.3. Думается мне что это делается при помощи iptables snat. Но вот не задача ни как не могу это все это настроить. Помогите плиз.

Ссылка

←	Контроль ipset & MAC адрес - необходима консультация.

NFS or not NFS?

→

iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d 192.168.11.11 -j SNAT --to 192.168.1.3

anonymous
(24.02.14 12:53:28 MSK)

Ответ на: комментарий от anonymous 24.02.14 12:53:28 MSK

так пробывал, не получается. Начал пинговать с 1 подсети ип 192.168.11.11 и смотреть tcpdump'ом трафик шел с без подмены ип адреса.

Bulatka
(24.02.14 13:11:42 MSK) автор топика

Ответ на: комментарий от Bulatka 24.02.14 13:11:42 MSK

NAT между машинами в одной физической сети с одним шлюзом - странная идея.

Ну да ладно.

Добавляем «iptables -t raw -A PREROUTING -p icmp -d 192.168.11.11 -j TRACE», делаем из 192.168.1.x пинг до 192.168.11.11 и смотрим логи и пытаемся понять почему не сработало.

Только потом не забудте очистить raw-таблицу.

vel ★★★★★
(24.02.14 13:33:55 MSK)

Ответ на: комментарий от vel 24.02.14 13:33:55 MSK

данная команда выдает ошибку iptables: Unknown error 4294967295.

Bulatka
(24.02.14 14:02:24 MSK) автор топика

Ответ на: комментарий от Bulatka 24.02.14 14:02:24 MSK

возможно не загружены модули.

modprobe iptable_raw
modprobe xt_TRACE

vel ★★★★★
(24.02.14 15:07:42 MSK)

Ссылка

Ответ на: комментарий от Bulatka 24.02.14 13:11:42 MSK

А трафик вобще шёл через ваш шлюз? Может у вас там icmp-redirect пакеты шлюзом генерируются, а клиентами обрабатываются и сети общаются напрямую?

mky ★★★★★
(25.02.14 02:15:28 MSK)

Ответ на: комментарий от mky 25.02.14 02:15:28 MSK

ICMP Redirect в таких случаях не генерируется.

anonymous
(25.02.14 08:53:49 MSK)

Ответ на: комментарий от anonymous 25.02.14 08:53:49 MSK

Вот как раз по rfc 792 редирект и должен возникать, но есть специальное уточнение , что если пакет приходит и уходит в один и тот же физический интерфейс, но в разные подсети, то не должно быть редиректа.

Но это теория, а вот древняя практика: http://oss.sgi.com/archives/netdev/2004-07/msg00512.html , а вот более свежая https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=397550 . Да, этот баг пофиксили, но баги любят возраждаться в ядре, особенно с учётом того, что есть мнение https://dev.openwrt.org/ticket/4397 , что если сети физически в одном сегменте, то редиректы обязаны быть.

Поэтому я советую ТС начать с проверки tcpdump'ом на маршрутизаторе, что трафик идёт через него, и только потом искать проблему в правилах в iptables.

mky ★★★★★
(25.02.14 10:29:30 MSK)