[linux] verejne IP cez NATovanu siet

Michal Rybárik michal na rybarik.sk
Úterý Listopad 11 22:29:23 CET 2008 

Ahoj,

na odchode z routera do internetu budes NATovat iba privatne IP:
# iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -j SNAT --to X.X.X.X
Verejne IP sa takto NATovat nebudu.

Ked teraz na vnutorne rozhranie routra pridas nejaku IP z tvojho tvojho 
verejneho subnetu napr 1.1.1.1/29, budes mat tieto verejne IP dostupne z 
internetu (za podmienky ze ich tvoj provider na tvoj router spravne 
naroutoval - daj si z internetu pingat niektoru pridelenu IP a pozeraj 
tcpdumpom na tvoje vonkajsie rozhranie, mal by si vidiet prichadzat echo 
requesty. Ak nechodia, nie je to na teba naroutovane, ak chodia, je to OK).
Teraz by si uz mal vediet pingnut z intetrnetu aj tu IPcku, ktoru si dal 
vnutornemu rozhraniu ako alias (1.1.1.1). Teraz tiez mozes podavat 
dalsim strojom v tomto segmente IPcky zo subnetu 1.1.1.0/29. Gateway by 
mali mat na 1.1.1.1. Malo by to bezat.

No a ak chces pouzit dalsie casti subnetu /27, napriklad na router ktory 
si nacislujes ako 1.1.1.5  chces naroutovat siet 1.1.1.8/29, naroutuj to 
z hlavneho routera prikazom
# ip route add 1.1.1.8/29 via 1.1.1.5
Tento router 1.1.1.5 potom dostane na opacne rozhranie IP napriklad 
1.1.1.9/29 a stroje za tymto routrom mozu dostat dalsie IPcky z rozsahu 
1.1.1.8/29 (.10, .11., ...) a GW budu mat na 1.1.1.9.

Ospraveldnujem sa ak to nie je na prve precitanie uplne zrozumitelne, 
lepsie sa to kresli nez pise. V pripade otazok dovysvetlim.

Aha a teraz som si vsimol ze tam mas OSPF, tak to potom najskor nebudes 
routovat staticky cez "ip route" ale dynamicky cez OSPF, princip zostava.

A este dovetok, to ze si nenabryzgal vsetky IP na jedno rozhranie a 
nepreNAToval to dalej je chvalyhodna vec, ako klient pouzivajuci VPNky, 
IPtelefoniu a dalsie veci ktore sa nie celkom kamaratia s NATkom, by som 
za taketo "akoze verejne" ale pritom NATovane IPcky bil adminov hlava 
nehlava. ;o) Par usetrenych IP adries tymto sposobom je blbina, ved len 
napriklad Hewlett Packard ma pridelenych vyse 33 milionov IPv4 adries a 
pouziva chaby zlomok z toho, takze kvoli tym desiatim IPckam ktore ty 
nevyuzijes na koncove zariadenia ale na routre, networky a broadcasty, 
sa teraz IPv4 svet nezruti ;)

M.R.

Ing. Jan Furi  wrote / napísal(a):
> Dobry den,
> chcem poziadat o radu.
>
> Mam linux GW s 2x NIC
> - prvy je verejna IP do sveta od ISP
> - druhy je lokalna siet s lokalnou IP (192.168.x.x)
> v sieti mam kopec routerov (vsade lokalne IP)
> medzi sebou ich routujem - OSPF
> v lokale vsetko funguje OK.
>
> aby som zabezpecil vystup von do Internetu tak tieto lokalne IP
> NATujem (maskarada).
>
> Poziadal som o rozsah verejnych IP - dostal som napr. 1.1.1.0/27 rozsah (teda 32
> IP) od 1.1.1.1 po 1.1.1.30, ISP ich narutoval na moju vystupny verejnu
> IP
>
> Moj problem : pridelil som si verejnu IP routera (vramci sieti) a po
> lokalke sa vsetko pekne routuje, vsetko funguje,...
>
> problemom je ze zvonka danu IP nepingnem a ja osobne si myslim ze to
> bude tym ze problem je NAT. Ako sa toto vyriesit, resp. skuste ma
> nasmerovat ako postupovat dalej
>
>
> Nasiel som riesenia na webe, ze vsetko dat na lokalny interfajs, urobit alias a
> potom cez IPtables forwardovat na lokalnu IP ale toto nechcem, napriek
> tomu ze mi mozno napisete ze usetrim nejake IP....
>
>
> dakujem
>
> Jano Furi
>
>
>
>
> _______________________________________________
> https://lists.linux.sk/mailman/listinfo/linux
> Meta FAQ: http://www.sklug.sk/lists/linux/metafaq.html
>

Další informace o konferenci linux