LINUX.ORG.RU
ФорумGeneral

Настройка маршрутизации в Линукс . Требуется совет.

 


0

1

Добрый день! Есть сеть 192.168.0.х в ней есть линуксовый сервер приложений с адресом 192.168.0.5 , этот сервер для обмена данными сообщается с другим сервером 172.100.100.10 в другой подсети , связь между серверами осуществляется через роутер-шлюз с адресом 192.168.0.1

Появилась необходимость установить еще один сервер приложений в сети 192.168.0.х с адресом 192.168.0.6 которому также необходим доступ в другую подсеть. Но на роутере жестко прописан только один IP адрес 192.168.0.5 с которого разрешается ходить в другую подсеть , этот адрес уже занят первым сервером. Открыть доступ для новых адресов на роутере нельзя по организационным причинам.

Вопрос- возможно ли настроить маршрутизацию таким образом, чтобы пакеты с нового сервера шли через сервер 192.168.0.5 и уже от этого адреса через роутер шли в другую подсеть?

Появилась необходимость
Открыть доступ для новых адресов на роутере нельзя по организационным причинам

Вы там определитесь, у вас _необходимость_, или _нельзя_.
Можно, конечно, вынести два 192х сервера в отдельную подсеть и нагородить натящий «шлюз» с «внешним» интерфейсом 192.168.0.5. Или можно натить второй сервер сквозь первый. Но почему не сделать нормально?

thesis ★★★★★
()

можно маскарадить 192.168.0.6 через 192.168.0.5, но это не лучшее решение. я бы поднял туннель между 192.168.0.5 и 172.100.100.10 и вложил в него всё, что нужно

flant ★★★
()
Ответ на: комментарий от thesis

На роутере нельзя

роутер предоставлен сторонней организацией , для доступа к их ресурсам , не открывают они доступ для нескольких адресов.

По поводу натирования это как?

denist_2013
() автор топика

Примерно такое правило для iptables (суть): 

# iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.0.5

На второй машине просто нужно будет маршрут соответствующий добавить.

Если запустить tcpdump, то можно будет увидеть что-то вроде этого (это ping 172.100.100.10 со второго сервера): 

# tcpdump -n -i eth0 icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
13:26:10.029410 IP 192.168.0.6 > 172.100.100.10: ICMP echo request, id 512, seq 2048, length 40
13:26:10.029447 IP 192.168.0.5 > 172.100.100.10: ICMP echo request, id 512, seq 2048, length 40
13:26:10.096125 IP 172.100.100.10 > 192.168.0.5: ICMP echo reply, id 512, seq 2048, length 40
13:26:10.096148 IP 172.100.100.10 > 192.168.0.6: ICMP echo reply, id 512, seq 2048, length 40

Но решение не самое адекватное, да.

drake
()
Ответ на: комментарий от flant

Тунель нельзя

сервер 172.100.100.10 принадлежит сторонней организации , с их стороны его перенастраивать никто не будет

denist_2013
() автор топика

Сервера приложений 192.168.0.5 и .6 должны похоже одновременно работать? Можно часть портов от .6 пробросить через .5 - и тогда из сети 172.xx к ним будет доступ - но без настройки клиентов этих сервисов все равно не обойтись.

Если сервера приложений идентичны по функциям - то можно из 192.168.0.5 изобразить балансировщик нагрузки.

eabi
()
Ответ на: Тунель нельзя от denist_2013

хм.. ещё как вариант поднять нужные приложения на 192.168.0.6, а их порты повыбрасывать через 192.168.0.5

flant ★★★
()
Ответ на: комментарий от pianolender

не понимаю, что может нарушать обычный vpn? возможно имело место прицепляние к терминам, но ведь без разницы, какие где айпи адреса и что через что натится, главное обеспечить прямую видимость пробросом портов

flant ★★★
()
Ответ на: комментарий от flant

Некоторые айпи-адреса нехорошо использовать в закрытых сетях, так как они могут дать коллизию с реальным адресом. Например, используя 8.8.8.8 в качестве адреса lan-интерфейса роутера мы лишаемся гугловского днс.

Против vpn как такового ничего не имею, просто у ТС подсетка неправильная.

pianolender ★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
General