[Comm] хитрый нат

Nick S. Grechukh =?iso-8859-1?q?ngrechukh_=CE=C1_ua=2Efm?=
Вт Авг 31 18:13:47 MSD 2004 

В сообщении от Вторник 31 Август 2004 17:01 Michael Varamashvili написал(a):
> Hу здpаcте community,
>
>   надо сделать вот что:
>
>   есть интерфейс eth1, он смотрит в инет, у него реальный ip, есть
> внутреннея сетка 10.33.20.0/24. У прова есть своя внутренняя сетка,
> 10.0.0.0/8. Как сделать так, что бы если ломимся в инет, то уж в инет, а
> если нет, то в сетку? Я так понял, что просто ip подменять не надо. Сделал
> так:
> [root на router rc.d]# route
> Kernel IP routing table
> Destination     Gateway         Genmask         Flags Metric Ref    Use
> Iface 195.49.232.208  *               255.255.255.252 U     0      0       
> 0 eth1 10.33.20.0      *               255.255.255.0   U     0      0      
>  0 eth0 127.0.0.0       *               255.0.0.0       U     0      0     
>   0 lo default         195.49.232.209  0.0.0.0         UG    0      0      
>  0 eth1
>
> 195.49.232.209 - гейт который мне сказали.
>
> eth1      Link encap:Ethernet  HWaddr 4C:00:10:38:44:AA
>           inet addr:195.49.232.210  Bcast:195.49.232.211 
> Mask:255.255.255.252
>
> iptables -t nat -A POSTROUTING -o eth1 --dst ! 10.0.0.0/8 -j SNAT
> --to-source 195.49.232.210
>
> инет ходит, а внутреннея сетка нет. я понимаю, что что-то с натом, но не
> понимаю что... O:)
ну здрасьте. проверьте, оно и без ната не работает (в смысле с машины гейта). 
потому что между вашей сеткой (которая действительно является подсетью 
10.0.0.0) и провайдерской стоит интерфей с реальным адресом.

а все потому что: интерфейс 195.49.232.210 не входит в сетку 10.0.0.0. 
следовательно пакеты кидаются на гейтвэй. а поскольку он не указан, то идет 
все на default gw, который в серую сеть уже не пускает. 
(я так подозреваю что в сетку прова вы не вломитесь, независимо от ваших 
внутренних серых адресов, просто потому что _ваш_ шлюз имеет белый адрес и 
находится "в интернете". со всеми вытекающими.)

-- 
Regards, Nick S. Grechukh
NSG1-UANIC
network administrator at many places :-)

=== ALT Linux fortune: ========================
> ... но на самом деле хочется БАСОВ =)))
Тогда нужны КОЛОНКИ :))
  -- mike in community@
----------- следующая часть -----------
Было удалено вложение не в текстовом формате...
Имя     : =?iso-8859-1?q?=CF=D4=D3=D5=D4=D3=D4=D7=D5=C5=D4?=
Тип     : application/pgp-signature
Размер  : 189 байтов
Описание: signature
Url     : <http://lists.altlinux.org/pipermail/community/attachments/20040831/50750ac0/attachment-0003.bin>

Подробная информация о списке рассылки community