dwa naty - da sie ?? :)

Serwery i sieci oparte na Slackware, wszelkiego rodzaju usługi, troubleshooting.

Moderatorzy: Moderatorzy, Administratorzy

Czupakabra
Użytkownik
Posty: 2
Rejestracja: 2004-05-31, 16:17

dwa naty - da sie ?? :)

Post autor: Czupakabra »

-------- skrocony schemat --------------------
lacze internetowe -eth0-(adres zewnetrzny)- serwer1 (adres wewnetrzny
10.x.x.1)-eth1- switch1 (siec lokalna1 10.x.x.x/24)
do switcha m.in wpiety inny serwer z dwoma eth
switch eth0(10.x.x.2) -serwer2- (192.168.x.1)eth1- switch2 - siec
lokalna2(192.168.x.x/24)
------------------------------------------------
Serwer1 przeprowadza NAT dla sieci lokalnej 10.x.x.x/24 (w naprostrzej
postaci) - dziala OK
Siec lokalna1 i Serwer2 jest klientem i dziala OK.
Czy na serwerze2 mozna rownierz zrobic nat dla sieci lokalnej2
(192.168.x.x/24) ??
Nie ukrywam ze mi nie dziala - i nie wiem czo to normalne czy tez cos
sknocilem ??
Nie bardzo wiem czy trzeba zrobic jakis routing czy moze jakis "specjalny"
NAT ??
Szukalem, googlalem i nie wiem (ci co wiedza - powiedza ze slabo - ale moze
wystarczy napisac czego szukac ?).
Weekend zlecial przy tym i nie dziala - a mi zachcialo sie ulepszen :(
Z gory dzieki za wszelkie info.

pozdr
Czupak
Awatar użytkownika
Corvin
Administrator
Posty: 1143
Rejestracja: 2004-05-21, 15:04
Lokalizacja: Gdańsk

Re: dwa naty - da sie ?? :)

Post autor: Corvin »

sorry że tak bez dalszych objaśnień ale da się nie robiłem ale na pewno się da
"Spróbuj zapalić maleńką świeczkę zamiast przeklinać ciemność."
Konfucjusz
Awatar użytkownika
Skyscraper
Administrator
Posty: 753
Rejestracja: 2004-05-22, 10:46
Lokalizacja: Wrocław
Kontakt:

Re: dwa naty - da sie ?? :)

Post autor: Skyscraper »

Wg mnie to jesli chcesz aby SERWER1 przeprowadzal NAT dla sieci LAN 10.x.x.x i jednoczesnie dla 192.168.x.x to SERWER2 powinien pelnic role MOSTU (bridge) miedzy dwoma tymi sieciami. - chyba jakos tak :)
Jesli jednak nei chcesz robic BRIDGEa to nie powinienes miec problemu ze zrobieniem NAT2 na SERWERZE2 dla sieci 192.168.x.x. Na klientach tej sieci ustawiasz adres bramy taki jaki adres ma interfejs sieciowy SERWERA2 laczacy sie z ta siecia, a na SERWERZE2 ustawiasz adres bramy taki jaki adres ma interfejs sieciowy SERWERA1 laczacy sie z siecia 10.x.x.x
Klienci sieci 10.x.x.x adres bramy ustawiaja taki jaki adres ma interfejs sieciowy SERWERA1 laczacy sie z siecia 10.x.x.x

na SERWERZE2 musisz wykonac
- echo 1 > /proc/sys/net/ipv4/ip_forward
- modprobe iptable_nat
- iptables -t nat -A POSTROUTING -o eth0 -j SNAT -s 192.168.x.x/24 --to 10.x.x.2

na SERWERZE1 musisz wykonac
- echo 1 > /proc/sys/net/ipv4/ip_forward
- modprobe iptable_nat
- iptables -t nat -A POSTROUTING -o eth0 -j SNAT -s 10.x.x.x/24 --to PUBLIC_IP

z tego co widze to stosujesz tzw pajeczarstwo, czyli NAT za NATem i nei powinienes miec problemu

Mam nadzieje ze co pomoglem,

Pozdrawiam :)
Awatar użytkownika
Puchacz
Użytkownik
Posty: 7
Rejestracja: 2004-05-31, 09:06
Kontakt:

Re: dwa naty - da sie ?? :)

Post autor: Puchacz »

NAT za NATem dziala bez problemu. Moze zapomniales wlaczyc forwarding?
U mnie jest router z dwoma laczami, robi NATka, pozniej jest serwer zarzadzajacy pasmem, do poczt, www i innych takich i ma dodatkowo zrobione zewn. IP by NAT 1:1 i oczywiscie robi drugi raz NAT dla sieci lokalnej z 10.x.x.x do 192.168.x.x wszystko smiga az milo.

Za to ciekawi mnie czy moge przy pomocy NAT 1:1 przekazac zewn IP az do maszyny wewnatrz lanu, jeszce jakos nie probowalem ale wydaje mi sie ze i to powinno dzialac.
Awatar użytkownika
Skyscraper
Administrator
Posty: 753
Rejestracja: 2004-05-22, 10:46
Lokalizacja: Wrocław
Kontakt:

Re: dwa naty - da sie ?? :)

Post autor: Skyscraper »

Puchacz pisze:Za to ciekawi mnie czy moge przy pomocy NAT 1:1 przekazac zewn IP az do maszyny wewnatrz lanu, jeszce jakos nie probowalem ale wydaje mi sie ze i to powinno dzialac.
mowisz o przekierowaniu portow ? aby ktos z zewnatrz mial dostep do uslugi prowadzonej na komputerze w LAN ?
Awatar użytkownika
Puchacz
Użytkownik
Posty: 7
Rejestracja: 2004-05-31, 09:06
Kontakt:

Re: dwa naty - da sie ?? :)

Post autor: Puchacz »

Skyscraper pisze:mowisz o przekierowaniu portow ? aby ktos z zewnatrz mial dostep do uslugi prowadzonej na komputerze w LAN ?
No czy portow czy IP to bez roznicy, zalatwiam to DNAT + SNAT, a raczej na odwrot, no zalezy od ktorej strony sie patrzy :)
Raczej powinno dzialac przez dwie maszyny, jak i sam SNAT dziala. Wlasnie sobie przypomnialem :D ze teraz mam lacza po uslugach podzielone, bo z load balancigniem niestety nie dzialalo najlepiej i nie bardzo sobie potestuje...
Czupakabra
Użytkownik
Posty: 2
Rejestracja: 2004-05-31, 16:17

Re: dwa naty - da sie ?? :)

Post autor: Czupakabra »

nie stosuje pajeczarstwa :) - jesli mozna to tak nazwac to stosuje raczkujace isp :)
tak na marginesie to wlasnie ja tak sobie umyslilem zrobienie obslugi dwoch lub wiecej lacz. Tak jak to robi wlasnie Puchacz.
Wczoraj doszedlem ze dziala - a pogubilem sie przez przelaczanie domyslnych bram (mam kilka sciag).
Na marginiesie - Puchacz - Czy nie moglbys zamiescic troche wiecej szczegolow ze swojego rozwiazania (chodzi mi o routing i ustawiania IPtables)- hehe - czyli o wszystko.
Jesli nie tu to na priv. Chetnie tez sie wymienie watpliwa wiedza (widze ze te same pomysly i systemy)
Testuje kilka przykladow i po dodaniu 2 def.gateway (nie wiem czy to dobrze ?) rozkracza mi sie komunikacja.
PS. Aha jeszcze : Co trzeba wpisac iptables zeby pingi lataly :) za drugim serwerem na internet ?
Awatar użytkownika
Puchacz
Użytkownik
Posty: 7
Rejestracja: 2004-05-31, 09:06
Kontakt:

Re: dwa naty - da sie ?? :)

Post autor: Puchacz »

Czupakabra pisze:nie stosuje pajeczarstwa :) - jesli mozna to tak nazwac to stosuje raczkujace isp :)
Tradycyjne raczkujace ISP by WiFi with double DSL :)

Czupakabra pisze:Na marginiesie - Puchacz - Czy nie moglbys zamiescic troche wiecej szczegolow ze swojego rozwiazania (chodzi mi o routing i ustawiania IPtables)- hehe - czyli o wszystko.
Jesli nie tu to na priv. Chetnie tez sie wymienie watpliwa wiedza (widze ze te same pomysly i systemy)
Poczatkowo testowalisym Load Balancing, ktory wydawal sie dla nas najlepszym rozwiazaniem, 2,5 Mbps lacza w sumie, a to i tak zapas przy tym co wykorzystuja, do tego latki na kernela i gdy jedno lacze pada wszystko leci wciaz na jednym. Niestety byl problem nie do przeskoczenia zrywanie polaczen po pewnym czasie, po prostu kernel kierowal polaczenie na druga brame, a NAT sie nie zmianial, do tego przy roznych adresacjach druga strona konczy sesje, niestety LB bez wspolpracy z ISP po drugiej stronie nie bedzie nam dzialac, tyle dowiedzialem sie na grupce networking.

Iptables, wypuszcza wszystko co tylko chcemy i NATuje na dane lacze z danym ip, wpuszcza jedynie na kilku okreslonych portach, dns, www, smtp, pop3, ftp na jednym z lacz.
Dodatkowo markowanie pakietow z okreslonymi portami docelowymi, gadu gady, www, poczty w obie strony, gierki, streamy, wszystko co ma chodzic szybko i sprawnie.

Nastepnie klasycznie ip roule add fwmark 1 table lacze_a

No i w tej tabelce podstawowe sprawy dla tego pierwszego lacza.

Reszta, wszystko co nie markowane leci przez default gateway, ktorym jest drugie lacze. P2P, smieci nie okreslone i ftp, bo ftp i tak sobie poradzi z p2p ;)
Wszystko smiga az milo i p2powcy nie narzekaja. Jak cos wiecej, to prosze o konkretne pytania.
Czupakabra pisze:Testuje kilka przykladow i po dodaniu 2 def.gateway (nie wiem czy to dobrze ?) rozkracza mi sie komunikacja.
PS. Aha jeszcze : Co trzeba wpisac iptables zeby pingi lataly :) za drugim serwerem na internet ?
Co do pingow to nie mam pojecia o co chozzi... Normalnie lataja, a czemu mialyby nie latac, moze na firewallu wyciales...
[shadow=black][color=white][b]Slackware Linux. The penguin never sleeps.[/b][/color][/shadow]
ODPOWIEDZ