пробросить порт с сохранением исходного ip адреса

0

2

Client29 -> PortMappingServer(172.16.10.211) -> Server25(172.16.10.229:1022)

есть промежуточный сервер PortMappingServer, к которому подключается несколько клиентов весь трафик пробрасывается к Server25, нужно на сервере 25 получить айпи адрес клиента 29.

net.ipv4.ip_forward = 1

Пробую таким правилом

iptables -t nat -I PREROUTING -i enp0s3 -d 172.16.10.211 -p tcp –dport 1022 -j DNAT –to-destination 172.16.10.229:1022

iptables -p tcp -A FORWARD -d 172.16.10.229 –dport 1022 -j ACCEPT

до 172.16.10.229 подключение не доходит

напишите, пожалуйста, работающее правило

заранее спасибо

Ссылка

←	Минимальный пример FreeRADIUS EAP-TLS + Linux client

zfs занято все место

→

Может IP шлюза у клиентов вносит свой вклад? :)

~~Bootmen~~ ☆☆☆
(14.01.21 14:22:33 MSK)

Ссылка

Как-бы так извратиться и написать по-новому, не так как в сотнях ответах тут на этот надоевший вопрос...

Вот. Придумал.

Правило то у вас рабочее, оно именно так и сделано, чтобы работало именно как вы хотите, меняет исходящий порт не меняя исходный адрес. Потому, если указанный сервер не шлюз у вашего внутреннего сервера, куда пакеты вы перенаправляете, то соединения и не будут устанавливаться, так как обратно то пакеты идут во вне, а устанавливающий соединения их отбросит как марсианские, так как он с этим сервером и портом соединения не устанавливал.

vodz ★★★★★
(14.01.21 14:36:35 MSK)

Ответ на: комментарий от vodz 14.01.21 14:36:35 MSK

то есть на уровне tcp не решаемо? И если не локальная сеть, тогда вообще никак не пробросить адрес источника?

linupmake
(14.01.21 14:53:01 MSK) автор топика

Ответ на: комментарий от linupmake 14.01.21 14:53:01 MSK

То, чего ты хочешь – нерешаемо на уровне L3. NAT это всегда перезапись адреса источника. То что тебе нужно – это проксирование с внесением заголовков X-Forwarded-For, X-Originating-IP и т.п. пакеты на уровне L4 и выше, если протокол это поддерживает.

BOOBLIK ★★★
(14.01.21 14:58:00 MSK)

Ответ на: комментарий от BOOBLIK 14.01.21 14:58:00 MSK

У iptables есть решения. Но, входящие IP будут светится как IP машинки шлюза. Что не устраивает ни одного Админа.

~~Bootmen~~ ☆☆☆
(14.01.21 15:16:12 MSK)

Ссылка

Да можно сделать. Делаешь только dnat на шлюзе, а не dnat+snat.

Bers666 ★★★★★
(14.01.21 16:15:40 MSK)

Ответ на: комментарий от Bers666 14.01.21 16:15:40 MSK

Вам грили про шлюз выше? Шлюз стандартный. Может на какой сиске.

~~Bootmen~~ ☆☆☆
(14.01.21 16:16:53 MSK)
Последнее исправление: Bootmen 14.01.21 16:21:06 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от Bers666 14.01.21 16:15:40 MSK

Ответные пакеты не придут.

BOOBLIK ★★★
(14.01.21 19:03:56 MSK)

То, что ты хочешь IMHO хорошо укладывается в LVS в варианте DR.

vel ★★★★★
(14.01.21 19:22:00 MSK)

Ссылка

Ответ на: комментарий от BOOBLIK 14.01.21 19:03:56 MSK

Ответные пакеты не придут.

Вам грили про шлюз выше? Шлюз стандартный. Может на какой сиске.

сделать с помощью ip rules + iptables cgroups для этого процесса НЕстандартный шлюз. Т.е. тот самый PortMappingServer

Bers666 ★★★★★
(14.01.21 20:37:06 MSK)

Ответ на: комментарий от Bers666 14.01.21 20:37:06 MSK

Если я правильно понимаю твой вариант с DNAT без SNAT, то клиентские пакеты, пролетая через «PortMappingServer» будут получать изменение destination IP/MAC, обратные же пакеты будут отправлены напрямую клиенту в ответку, который радостно их откинет как невалидные, т.к. с отвечающим ему сервером у него установленных сетевых соединений нет.

BOOBLIK ★★★
(15.01.21 17:08:45 MSK)

Ответ на: комментарий от BOOBLIK 15.01.21 17:08:45 MSK

Если на сервере приложения стоит шлюзом тот маппингсервер, то все будет работать.

Блин банальный порт форвардинг в домашних роутерах так работает - dnat без snat.

Bers666 ★★★★★
(15.01.21 17:18:07 MSK)

Ответ на: комментарий от Bers666 15.01.21 17:18:07 MSK

Нет. Посмотри внимательно на адреса. Они в одной сети. получаем асимметричнное хожение пакетов -> nat не работет, либо нарушение условий задания в случая dnat:snat

vel ★★★★★
(15.01.21 20:41:46 MSK)

Ответ на: комментарий от vel 15.01.21 20:41:46 MSK

Я так и не понял, все три сущности в 1 локалке? Или только последние 2. Короче топология неясна.

Bers666 ★★★★★
(15.01.21 22:45:50 MSK)

Ответ на: комментарий от Bers666 15.01.21 22:45:50 MSK

никто. все в разных местах глобальной сети(WAN).

linupmake
(15.01.21 23:01:41 MSK) автор топика

Ответ на: комментарий от linupmake 15.01.21 23:01:41 MSK

прошу прощения, некорректно использовал адрес для примера 172.16.10.

linupmake
(15.01.21 23:03:54 MSK) автор топика

Ссылка

Ответ на: комментарий от Bers666 15.01.21 22:45:50 MSK

я уже понял что не решаемо на сетевом уровне

linupmake
(15.01.21 23:05:59 MSK) автор топика

Ссылка

Ответ на: комментарий от linupmake 15.01.21 23:01:41 MSK

все в разных местах глобальной сети(WAN).

С этого надо было начинать! Тогда делаем так:

1. между PortMappingServer, Server25 делаем туннель типа 10.0.0.1:10.0.0.2. Подойдет хоть ipip.

2. на PortMappingServer, делаем DNAT в туннель.

3. на Server25: маркируем соединения, приходящие из туннеля. Для таких маркированных соединений ставим шлюз 10.0.0.1

Bers666 ★★★★★
(16.01.21 10:29:08 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Минимальный пример FreeRADIUS EAP-TLS + Linux client

Admin

zfs занято все место

→

Похожие темы