Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2010-03-28 22:26:13
Kpt. - 
Użytkownik
- Kpt.
- Użytkownik
- Skąd: Wielkopolska
- Zarejestrowany: 2005-11-10
HOW TO - ominiecie NATa
Mam pytanie do doswiadczonych sieciowcow. Sprawa wyglada tak
komp--192.168.2.10 (GW 192.2.1)----->(192.168.2.1)ROUTER(192.168.252.20 GW 192.168.252.1) ----> BRZEGOWY ROUTER (213.199.xx---WAN (213.199.xx.xx---SERWER WWW
Mam taki schemat - na BRZEGOWYM jest odpalony NAT, czyli jesli klient wyjdzie przez BRZEGOWEGO do serwera WWW - widac adres brzegowego, jako nawiazujacego polaczenie. Ja chcialbym aby polaczenie zostalo ta wykonane, abym widzial na serwerze WWW prawdziwe ip klienta (czyli w tym przypadku 192.168.2.10)
Do tej pory radzilem sobie w ten sposob, iz robilem redirecta na BRZEGOWYM i kierowalem klienta na proxy odpalone na nim, ten robil przekierowanie do serwera www. W ten sposob byl dodawany naglowek x-forwarded for i mialem ip klienta jak na tacy. Kombinacyjnie, ale dzialalo- ktos powiedzial - uzyj tuneli - pytam - powiedzcie mi jak, bo niestety nie do konca rozumiem idee.
Offline
#2 2010-03-29 11:02:30
Kpt. - Użytkownik
- Kpt.
- Użytkownik
- Skąd: Wielkopolska
- Zarejestrowany: 2005-11-10
Re: HOW TO - ominiecie NATa
Dodam, ze oczywiscie zakladamy, iz mam wszystkie mozliwe srodki techniczne do rozwiazania problemu - czyli brak ograniczen sprzetowo-softwareowych
Offline
#3 2010-03-29 22:09:05
bercik - Moderator Mamut
Re: HOW TO - ominiecie NATa
mozesz uzyc tunelowania ip po ip, ipv6 po ipv4 lub vpn ... osobiscie polecilbym rozwiazanie z ipv6 - czyli zarowno na maszynach za natem jak i na serwerku zestawiasz sobie tunele ipv6 i potem komunikujesz sie z serwerem www po ipv6 ...
"Wszyscy wiedzą, że czegoś zrobić nie można. Ale przypadkowo znajduje się jakiś nieuk, który tego nie wie. I on właśnie robi odkrycie." (A.Einstein)
Offline
#4 2010-03-29 23:56:44
Kpt. - Użytkownik
- Kpt.
- Użytkownik
- Skąd: Wielkopolska
- Zarejestrowany: 2005-11-10
Re: HOW TO - ominiecie NATa
OK. OK, moze mi jednak nakreslic mniej wiecej gdzie tunel i jak mialoby to dzialac (przyjmujac moja strukture sieci). Tunel miedzy Brzegowym (interfejsem od strony LANu) a serwerem WWW?
Poza tym mam jeszcze jeden dylemat - jak wykonac przekierowanie usera na serwer www? DST-NAT tutaj odpada...
Ostatnio edytowany przez Kpt. (2010-03-30 11:24:14)
Offline
#5 2010-03-31 17:16:42
Kpt. - Użytkownik
- Kpt.
- Użytkownik
- Skąd: Wielkopolska
- Zarejestrowany: 2005-11-10
Re: HOW TO - ominiecie NATa
Cholercia - nie nikt sposobu na obejscie problemu? :-/
Offline
#6 2010-03-31 22:31:05
bercik - Moderator Mamut
Re: HOW TO - ominiecie NATa
jak pisalem wiele mozliwosci - najprosciej robisz tunel ipv6 na routerze brzegowym, przepuszczasz ruch ipv6 przez router nat (nie natujac go) i wymuszasz aby klienci wewnetrzni laczyli sie z serwerem www po ipv6 (niestety musisz ingerowac w konfiguracje ich hostow aby ustawic im ipv6 - ale mam nadzieje ze przyda sie na przyszlosc ...)
jezeli chesz sie trzymac ipv4 to
1. robisz tunel ip w ip z uzyciem jakiejs prywatnej klasy pomiedzy routerem a serwerem www (http://linuxreviews.org/howtos/networking/lartc/pl/x324.html)
2. wymuszasz aby ludzie z za NATu laczyli sie z serwerem www po ip tunelu (np. manipulujesz dns-em)
"Wszyscy wiedzą, że czegoś zrobić nie można. Ale przypadkowo znajduje się jakiś nieuk, który tego nie wie. I on właśnie robi odkrycie." (A.Einstein)
Offline
#7 2010-04-01 01:13:17
Kpt. - Użytkownik
- Kpt.
- Użytkownik
- Skąd: Wielkopolska
- Zarejestrowany: 2005-11-10
Re: HOW TO - ominiecie NATa
bercik napisał(-a):
jezeli chesz sie trzymac ipv4 to
1. robisz tunel ip w ip z uzyciem jakiejs prywatnej klasy pomiedzy routerem a serwerem www (http://linuxreviews.org/howtos/networking/lartc/pl/x324.html)
2. wymuszasz aby ludzie z za NATu laczyli sie z serwerem www po ip tunelu (np. manipulujesz dns-em)
Zebym dobrze Cie zrozumial... :-) Mam kilka pytan - moze konkretniejszych
komp np 192.168.18.20/24 --->192.168.18.1(JAKIS ROUTER)192.168.252.20---->192.168.252.1(GLOWNY+NAT)213.199.xx.xx — (SERWER_WWW) 213.199.xx.xx
1) Tunel ip-ip zestawiam miedzy GLOWNY a SERWER_WWW tak?
2) W jaki sposob mam przewalic usera chcacego polaczyc sie z netem via GLOWNY, nie NATujac go (DST-NAT bo tego nie chce)? BTW robiac nawet DST-NATa mialbym kierowac klienta DST-NAT na ip serwera www wykorzystywanego do tunelu np 10.0.0.2?
3) Jesli idzie o manipulacje DNSem - to jednym sposob? Znaczy mialbym oszukac, ze dana domena nalezy do mojego serwera www i tylko dla danego klienta? Tu juz wysiadam :-))
Ostatnio edytowany przez Kpt. (2010-04-01 10:19:16)
Offline
#8 2010-04-01 12:18:20
bercik - Moderator Mamut
Re: HOW TO - ominiecie NATa
ja tam zachecam do rzowiazania z ipv6, ale ...
co do manipulacji dns'ami to najprosciej - masz dns na GLOWNY i tam dla klientow z wewnatrz podajesz ze adres domeny Twojego www to wlasnie adres tunelu ... da sie wymyslac inne metody, ale ta chyba najprostrza ... ewentualnie mozesz robic routingiem - ruch na
publiczne ip serwera www kierujesz tunelem ...
tunel zestawiasz miedzy JAKIS ROUTER a SERWER_WWW
tak wogole to po co podwujne natowanie (na JAKIS ROUTER)?
jezeli masz mozliwosc to moszesz SERWER_WWW wpiac jakim vlan-em albo osobnym kabelkiem do sieci natowanej ...
"Wszyscy wiedzą, że czegoś zrobić nie można. Ale przypadkowo znajduje się jakiś nieuk, który tego nie wie. I on właśnie robi odkrycie." (A.Einstein)
Offline
#9 2010-04-01 16:05:16
Kpt. - Użytkownik
- Kpt.
- Użytkownik
- Skąd: Wielkopolska
- Zarejestrowany: 2005-11-10
Re: HOW TO - ominiecie NATa
bercik napisał(-a):
ja tam zachecam do rzowiazania z ipv6, ale ...
tunel zestawiasz miedzy JAKIS ROUTER a SERWER_WWW
No to gorzej.... czyli tak jak przypuszczalem...
bercik napisał(-a):
jtak wogole to po co podwujne natowanie (na JAKIS ROUTER)?
Zle mnie zrozumiales - na JAKIS ROUTER jest czysty routing, nie ma NATa... BRAMA dla JAKIS ROUTER jest GLOWNY i na nim NAT (zaznaczylem to w schemacie) Wlasnie na glownym chcialem to wszystko ogarnac... Nie wiem po prostu co ew ustawic, aby usera, ktory zechce sie polaczyc z netem a musi przejsc przez GLOWNY przekierowac na SERWER WWW bez maskowania ip... bo na GLOWNYM widac ipki, z uwagi na to, ze nie ma po drodze NATA. DOdam, ze SERWER WWW ma lokalny interfejs z tej samej puli co GLOWNY (192.168.252.0/24 i WANowski tez z tej samej (213.199.xxx) :-)
Widze, ze masz pojecie :-) Do tej pory spotykalem sie z madralami, ktorzy rzucali jakies ogolniki nie wyjasniajac co z czym. Jesli trzeba usiade i rozrysuje, z dokladka rozpiska podzialem na sieci itd
Ostatnio edytowany przez Kpt. (2010-04-01 16:12:38)
Offline
#10 2010-04-02 00:13:04
bercik - Moderator Mamut
Re: HOW TO - ominiecie NATa
skoro tam nie ma NAT to wystarczy tunel miedzy GLOWNY a SERWER_WWW ...
ale skoro "SERWER WWW ma lokalny interfejs z tej samej puli co GLOWNY (192.168.252.0/24" to ruch do serwera na tym interfejsie nie jest natowany ... zatem jak klient bylby kierowany na serwer www poprzez adres z 192.168.252.0/24 ... to widoczny ylby ip wewnetrzny klienta a nie ip routera nat ... czyli nie musisz tunelowac ...
"Wszyscy wiedzą, że czegoś zrobić nie można. Ale przypadkowo znajduje się jakiś nieuk, który tego nie wie. I on właśnie robi odkrycie." (A.Einstein)
Offline
#11 2010-04-02 12:41:20
Kpt. - Użytkownik
- Kpt.
- Użytkownik
- Skąd: Wielkopolska
- Zarejestrowany: 2005-11-10
Re: HOW TO - ominiecie NATa
bercik napisał(-a):
skoro tam nie ma NAT to wystarczy tunel miedzy GLOWNY a SERWER_WWW ...
ale skoro "SERWER WWW ma lokalny interfejs z tej samej puli co GLOWNY (192.168.252.0/24" to ruch do serwera na tym interfejsie nie jest natowany ... zatem jak klient bylby kierowany na serwer www poprzez adres z 192.168.252.0/24 ... to widoczny ylby ip wewnetrzny klienta a nie ip routera nat ... czyli nie musisz tunelowac ...
Nie potrafie do konca przesledzic trasy pakietow :-) Bo tak, Klient laczy sie ze swoja bramka 192.168.18.1 (NASZ JAKIS ROUTER), ktory ma adres np 192.168.252.20 dla niego brama jest 192.168.252.1 GLOWNY
Klient chce polaczyc sie z netem (ale ja mu zabraniam), czyli na GLOWNYM powinien byc przekierowany na SERWER WWW - jak? Zadziala DST-NAT do adresu lokalnego SERWERA WWW czyli np 192.168.252.10, bo prawde mowiac juz tylu wariantow probowalem, ze po prostu mi sie miesza, a nie mam tego akurat jak sprawdzic :-) Warunek jest oczywiscie taki, ze 192.168.252.10 (SERWER WWW) bedzie znal trasy do wszystkich sieci....
Wracajac do przekierowania. Polaczenie bedzie chyba nawiazywane przez klienta po przekierowaniu nie PRZEZ (czy z) 192.168.252.1 (GLOWNY), ale z 192.168.252.20 (JAKIS ROUTER) bo ten jest w tej samej sieci, wiec nie potrzebuje posrednika.... Chyba ze da sie wymusic takowe... OK, na razie dzieki. Potestuje i zobaczymy co mi z tego wyjdzie - dam znac. Dzieki za wskazowki i pomoc w analizie :-)
Ostatnio edytowany przez Kpt. (2010-04-02 13:35:06)
Offline
#12 2010-04-03 22:28:47
Kpt. - Użytkownik
- Kpt.
- Użytkownik
- Skąd: Wielkopolska
- Zarejestrowany: 2005-11-10
Re: HOW TO - ominiecie NATa
Dobra. Co nieco pokombinowalem i... no cos jest nie do konca ok. Pytanie zasadnicze - w jaki sposob przekierowac (gdzie Filter, NAT?) danego usera... Na routerze z ktorym laczy sie klient (JAKIS ROUTER - 192.168.252.20) zrobilem prerouting, takze laczac sie z SERWEREM WWW (192.168.252.10) leci na niego bezposrednio, z pominieciem GLOWNEGO (192.168.252.1) Teraz co, jesli klient chce sie polaczyc z siecia czyli leci do GLOWNY, a ja chce zeby zostal przekierowany na SERWER WWW.... Nie moge w tym momencie zrobic oczywiscie DST-NATa... Na ta chwile mam SRC-NAT dla calego lanu... Manipulowanie DNSem odpada... Nie mam takich mozliwosci.
Ostatnio edytowany przez Kpt. (2010-04-03 22:30:10)
Offline
#13 2010-04-03 23:09:39
bercik - Moderator Mamut
Re: HOW TO - ominiecie NATa
dlaczego nie mozesz zrobic dst-nat ... co najwyzej pozniej adres SERWER WWW wylaczasz z pod src-nat (tak aby zachowac rzeczywisty adres zrodlowy)
"Wszyscy wiedzą, że czegoś zrobić nie można. Ale przypadkowo znajduje się jakiś nieuk, który tego nie wie. I on właśnie robi odkrycie." (A.Einstein)
Offline
#14 2010-04-04 00:55:40
Kpt. - Użytkownik
- Kpt.
- Użytkownik
- Skąd: Wielkopolska
- Zarejestrowany: 2005-11-10
Re: HOW TO - ominiecie NATa
Probowalem, wylaczylem z src nata 192.168.252.10 czyli adres pod jakim stoi www i ni cholery... Po wlaczeniu dst-nata i wylaczeniu ipka przekierowywanego kompa - strona z info nie chce sie ladowac :-/ Jak zostawie NATA - to zaladuje... co ciekawe nieco dziwnie, bo na serwku WWW pokazuje mi, ze lacze sie z WANu routera (!!!!)
Czyli jakby 213.199.xx.xx do 192.168.252.10. Zeby nie bylo DST-NAT mam wlasnie z 192.168.252.10. SRC-NAT dla lokalnych sieci w tym rowniez wspomnianego kompa mam do adresu WAN routera
Przejrzalem pozostale tablice firewalla, routingu, nic tam nie widze...
Offline
#15 2010-04-04 16:07:31
bercik - Moderator Mamut
Re: HOW TO - ominiecie NATa
pokazuj konkrety - wyniki iptables -n -L oraz iptables -t nat -n -L a takze polecenia ip route
"Wszyscy wiedzą, że czegoś zrobić nie można. Ale przypadkowo znajduje się jakiś nieuk, który tego nie wie. I on właśnie robi odkrycie." (A.Einstein)
Offline
#16 2010-04-04 18:08:01
Kpt. - Użytkownik
- Kpt.
- Użytkownik
- Skąd: Wielkopolska
- Zarejestrowany: 2005-11-10
Re: HOW TO - ominiecie NATa
OK. Podaje konfig routera - GLOWNY. BTW jak zrobie dst-nata na routerze ktory jest bramka dla klienta - dziala przekierowanie... Jak zrobie na glownym - NIE.
Route
Kod:
# DST-ADDRESS PREF-SRC GATEWAY-STATE GATEWAY DISTANCE INTERFACE 0 X S 0.0.0.0/0 88.199.31.241 1 1 A S 0.0.0.0/0 reachable 213.199.xxx.xxx 1 ether1 2 A S 192.168.2.0/24 reachable 192.168.252.3 1 ether2 3 A S 192.168.3.0/24 reachable 192.168.252.4 1 ether2 4 A S 192.168.4.0/24 reachable 192.168.252.21 1 ether2 5 A S 192.168.5.0/24 reachable 192.168.252.24 1 ether2 6 A S 192.168.6.0/24 reachable 192.168.252.22 1 ether2 7 A S 192.168.7.0/24 reachable 192.168.252.14 1 ether2 8 A S 192.168.8.0/24 reachable 192.168.252.15 1 ether2 9 A S 192.168.9.0/24 reachable 192.168.252.2 1 ether2 10 A S 192.168.10.0/24 reachable 192.168.252.16 1 ether2 11 A S 192.168.11.0/24 reachable 192.168.252.13 1 ether2 12 A S 192.168.12.0/24 reachable 192.168.252.7 1 ether2 13 A S 192.168.13.0/24 reachable 192.168.252.29 1 ether2 14 A S 192.168.14.0/24 reachable 192.168.252.23 1 ether2 15 A S 192.168.15.0/24 reachable 192.168.252.26 1 ether2 16 A S 192.168.16.0/24 reachable 192.168.252.28 1 ether2 17 A S 192.168.17.0/24 reachable 192.168.252.18 1 ether2 18 A S 192.168.18.0/24 reachable 192.168.252.20 1 ether2 19 A S 192.168.19.0/24 reachable 192.168.252.32 1 ether2 20 A S 192.168.20.0/24 reachable 192.168.252.33 1 ether2 21 A S 192.168.21.0/24 reachable 192.168.252.17 1 ether2 22 A S 192.168.22.0/24 reachable 192.168.252.19 1 ether2 23 A S 192.168.23.0/24 reachable 192.168.252.25 1 ether2 24 A S 192.168.24.0/24 reachable 192.168.252.35 1 ether2 25 A S 192.168.25.0/24 reachable 192.168.252.36 1 ether2 26 A S 192.168.26.0/24 reachable 192.168.252.38 1 ether2 27 A S 192.168.27.0/24 reachable 192.168.252.41 1 ether2 28 A S 192.168.28.0/24 reachable 192.168.252.40 1 ether2 29 A S 192.168.29.0/24 reachable 192.168.252.39 1 ether2 30 ADC 192.168.252.0/24 192.168.252.1 0 ether2 31 X S 192.168.252.24/32 pptp-out1 1 32 ADC 213.199.xx.xx/25 213.199.xxx.xx 0 ether1
Firewall NAT i to by bylo na tyle.... W mangle nic nie mam, w input tez nic...
Kod:
0 X ;;;
chain=dstnat action=dst-nat to-addresses=192.168.252.10 to-ports=82 protocol=tcp src-address=192.168.18.40
dst-port=!1-52,54-79,84-65355
14 chain=srcnat action=add-src-to-address-list src-address=192.168.2.0/24 address-list=lan_lista address-list-timeout=0s
15 chain=srcnat action=add-src-to-address-list src-address=192.168.3.0/24 address-list=lan_lista address-list-timeout=0s
16 chain=srcnat action=add-src-to-address-list src-address=192.168.4.0/24 address-list=lan_lista address-list-timeout=0s
17 chain=srcnat action=add-src-to-address-list src-address=192.168.5.0/24 address-list=lan_lista address-list-timeout=0s
18 chain=srcnat action=add-src-to-address-list src-address=192.168.6.0/24 address-list=lan_lista address-list-timeout=0s
19 chain=srcnat action=add-src-to-address-list src-address=192.168.7.0/24 address-list=lan_lista address-list-timeout=0s
20 chain=srcnat action=add-src-to-address-list src-address=192.168.8.0/24 address-list=lan_lista address-list-timeout=0s
21 chain=srcnat action=add-src-to-address-list src-address=192.168.9.0/24 address-list=lan_lista address-list-timeout=0s
22 chain=srcnat action=add-src-to-address-list src-address=192.168.10.0/24 address-list=lan_lista address-list-timeout=0s
23 chain=srcnat action=add-src-to-address-list src-address=192.168.11.0/24 address-list=lan_lista address-list-timeout=0s
24 chain=srcnat action=add-src-to-address-list src-address=192.168.12.0/24 address-list=lan_lista address-list-timeout=0s
25 chain=srcnat action=add-src-to-address-list src-address=192.168.13.0/24 address-list=lan_lista address-list-timeout=0s
26 chain=srcnat action=add-src-to-address-list src-address=192.168.14.0/24 address-list=lan_lista address-list-timeout=0s
27 chain=srcnat action=add-src-to-address-list src-address=192.168.15.0/24 address-list=lan_lista address-list-timeout=0s
28 chain=srcnat action=add-src-to-address-list src-address=192.168.16.0/24 address-list=lan_lista address-list-timeout=0s
29 chain=srcnat action=add-src-to-address-list src-address=192.168.17.0/24 address-list=lan_lista address-list-timeout=0s
30 chain=srcnat action=add-src-to-address-list src-address=192.168.18.0/24 address-list=lan_lista address-list-timeout=0s
31 chain=srcnat action=add-src-to-address-list src-address=192.168.19.0/24 address-list=lan_lista address-list-timeout=0s
32 chain=srcnat action=add-src-to-address-list src-address=192.168.20.0/24 address-list=lan_lista address-list-timeout=0s
33 chain=srcnat action=add-src-to-address-list src-address=192.168.21.0/24 address-list=lan_lista address-list-timeout=0s
34 chain=srcnat action=add-src-to-address-list src-address=192.168.22.0/24 address-list=lan_lista address-list-timeout=0s
35 chain=srcnat action=add-src-to-address-list src-address=192.168.23.0/24 address-list=lan_lista address-list-timeout=0s
36 chain=srcnat action=add-src-to-address-list src-address=192.168.24.0/24 address-list=lan_lista address-list-timeout=0s
37 chain=srcnat action=add-src-to-address-list src-address=192.168.25.0/24 address-list=lan_lista address-list-timeout=0s
38 chain=srcnat action=add-src-to-address-list src-address=192.168.26.0/24 address-list=lan_lista address-list-timeout=0s
39 chain=srcnat action=add-src-to-address-list src-address=192.168.27.0/24 address-list=lan_lista address-list-timeout=0s
40 chain=srcnat action=add-src-to-address-list src-address=192.168.28.0/24 address-list=lan_lista address-list-timeout=0s
41 chain=srcnat action=add-src-to-address-list src-address=192.168.29.0/24 address-list=lan_lista address-list-timeout=0s
42 ;;; SRC NAT DLA CALEGO LAN DO WAN
chain=srcnat action=src-nat to-addresses=213.199.xxx.xxx dst-address=!192.168.252.10 src-address-list=lan_lista
43 X chain=dstnat action=dst-nat to-addresses=213.199.xx.xxx to-ports=85 protocol=tcp src-address-list=lan_listaOstatnio edytowany przez Kpt. (2010-04-04 18:08:35)
Offline
#17 2010-04-04 23:52:40
bercik - Moderator Mamut
Re: HOW TO - ominiecie NATa
eee ... prosilem o wynik komendy iptables -L ... a nie konfigi jakiegos konfiguratora iptables'a ... no chyba ze to nie router linuxowy (ale to moglbyc napisac co to jest)
"Wszyscy wiedzą, że czegoś zrobić nie można. Ale przypadkowo znajduje się jakiś nieuk, który tego nie wie. I on właśnie robi odkrycie." (A.Einstein)
Offline
#18 2010-04-05 15:30:34
Kpt. - Użytkownik
- Kpt.
- Użytkownik
- Skąd: Wielkopolska
- Zarejestrowany: 2005-11-10
Re: HOW TO - ominiecie NATa
Ta nie sa konfigi, a zrzuty - tak jak prosiles - tyle ze z mikrotika (na bazie linuksa, ale to pewnie wiesz) Powiedz mi dokladnie, co chcesz widziec, bo moze zle dane ci daje. Jak mowilem, w mangle, filter nie mam nic. Zrzut z NAT podalem. Route - jest tez...
Offline
#19 2010-04-06 23:23:55
bercik - Moderator Mamut
Re: HOW TO - ominiecie NATa
niestety nakladka miktronikowa jest na tyle wysokopoziomowa ze bardziej przypomina to konfigi niz zrzuty ...
czy siec 213.199.xx.xx (ta co jest miedzy glownym a www) jest rownierz pod Twoja opieka jezeli tak to mozesz sprobowac robic dst-nat na publiczny adres serwera www i wylaczyc src-nat dla sieci 213.199.xx.xx (unikniesz w ten sposob troche problematycznego zawracania przez router pakietow na interfejs z ktorego przyszly)
"Wszyscy wiedzą, że czegoś zrobić nie można. Ale przypadkowo znajduje się jakiś nieuk, który tego nie wie. I on właśnie robi odkrycie." (A.Einstein)
Offline
#20 2010-04-09 15:58:28
sabrez - Nowy użytkownik
- sabrez
- Nowy użytkownik
- Zarejestrowany: 2010-04-09
Re: HOW TO - ominiecie NATa
sorrka, że się wcinam...
ale, czy nie można poprostu dodać do iptablesa wyjątek, żeby nie natował wewn. adresów w kierunku serwera www i na serwerze www wyroutować klaski wewnętrzne do ipka routera brzegowego?
Na routerze brzegowym na wszelki wypadek dodać regs'a który odsieje wszystkie odwołania do wewnętrznych klas, które nie pochodzą z serwera www i po kłopocie...
pozdro :)
Offline
#21 2010-04-10 21:45:41
Kpt. - Użytkownik
- Kpt.
- Użytkownik
- Skąd: Wielkopolska
- Zarejestrowany: 2005-11-10
Re: HOW TO - ominiecie NATa
sabrez napisał(-a):
sorrka, że się wcinam...
ale, czy nie można poprostu dodać do iptablesa wyjątek, żeby nie natował wewn. adresów w kierunku serwera www
Wcinaj sie smialo :-) Oczywiscie to zrobilem - niestety brak wowczas komunikacji z serwerem (gdy wlaczony DST-NAT) Jesli nawiaze polaczenie bezposrednio z serwerem - bedzie dzialac, ale jesli zrobie przekierowanie na GLOWNYm - i wylacze src-nat w kierunku serwera www - tak jak pisales - dupa blada
sabrez napisał(-a):
i na serwerze www wyroutować klaski wewnętrzne do ipka routera brzegowego?
Na routerze brzegowym na wszelki wypadek dodać regs'a który odsieje wszystkie odwołania do wewnętrznych klas, które nie pochodzą z serwera www i po kłopocie...
pozdro :)
Hmm, czyli bramka dla serwera www do wszystkich sieci lokalnych mialby byc int lokalny routera... Hmm. Poniewaz poszczegolne routery sa w tej samej sieci co adres lokalny serwera www, dopisalem do tablicy statyczny wpis ze powiedzmy brama do podanej w przykladzie sieci klienta jest 192.168.252.20... Ale w sumie masz racje, tak tez powinno dzialac :-) Pytanie czy to wlasnie bedzie "kluczem" do rozwiazania tego problemu :-)
Offline
#22 2010-04-14 17:04:21
Kpt. - Użytkownik
- Kpt.
- Użytkownik
- Skąd: Wielkopolska
- Zarejestrowany: 2005-11-10
Re: HOW TO - ominiecie NATa
Ekhm. Panowie - to dziala - czasami :-( Wszystkie moje kombinacje byly dobre, tylko teraz zauwazylem w czym rzecz. Kwestia jest tego typu.
Serwer www (adres - 192.168.252.10) zgodnie z sugestia kolegi ma podane w tabeli routingu, ze do powiedzmy sieci 192.168.18.0 ma ileciec przez 192.168.252.1 (GLOWNY ROUTER) Z kolei router najblizej klienta o adresie 192.168.252.20 ma ustawione, ze do 192.168.252.10 ma leciec przez ROUTER GLOWNY (192.168.252.1) czyli wszystko OK... Problem jednak polega na tym, ze serwer www calkowicie olewa (pewnie ma powody :-)) routing. Gdy zrobie traceroute`a z serwera www do ipka klienckiego, ktory powinien sie polaczyc z nim wychodzi na to, ze serwer www laczy sie z NIM (klientem) bezposrednio przez 192.168.252.20, nie przez wskazana brame (ROUTER - 192.168.252.1) stad efekt jest taki, ze strona klientowi sie nie laduje... Bo klient laczy sie z GLOWNYM, ten przekierowuje go na 192.168.252.10, a ten powinien ta sama droga wyslac odpowiedziec (dobze mysle?) tymczasem idzie na skroty....
Offline
#23 2010-04-14 17:34:37
bercik - Moderator Mamut
Re: HOW TO - ominiecie NATa
pokaz pelna tablice routingu z serwera www, wyniki traceroute oraz wynik ip neigh
"Wszyscy wiedzą, że czegoś zrobić nie można. Ale przypadkowo znajduje się jakiś nieuk, który tego nie wie. I on właśnie robi odkrycie." (A.Einstein)
Offline