[Sysadmins] iptables/nat и несколько одинаковых сетей

[Eugene Prokopiev]

Dmitriy L. Kruglikov пишет:
> На календаре было: Суббота, 18 Ноябрь 2006 года,
> Eugene Prokopiev писал(а) в сообщении: 
> 
> EP == Eugene Prokopiev
> 
> 
> EP> Вы хотите поговорить об этом? ;) (с)
> Ну, скорее, вы, чем я :) Совет-то нужен вам ...
> А я хочу, всего лишь, понять, где собака ...

:)

> EP> Кроме того, каждый VE имеет veth-интерфейс, на котором куча адресов, в 
> EP> том числе и из сети 192.168.100.0/24, которая к первой не меет никакого 
> EP> отношения. 
> Вот тут мне не совсем понятно... Простите за тупость ... :)
> 
> Если есть адрес из сети 192.168.100.0/24, то он уже имеет к ней отношение ...
> Я так полагаю, что в сети 192.168.100.0/24 где-то есть "умная" железка, 
> именуемая маршрутизатором, которая разруливает адреса IP в MAC ...
> И она должна находить veth-интерфейсы, и предоставлять информацию.
> Стало быть, предположение "которая к первой не меет никакого отношения",
> вызывает у меня сомнения...

ну считайте что есть 2 сети 192.168.100.0/24, между ними бриджа нет и 
маршрутизации нет, но есть машины (VE), которым известен маршрут в одну 
сеть 192.168.100.0/24 (через маршрутизатор) и они же имеют второй 
сетевой интерфейс с адресом из другой сети 192.168.100.0/24

> EP> Все такие veth-интерфейсы вместе с одним физическим 
> EP> интерфейсом HN сидят в одном бридже. 
> Мне кажется, в вашей сети должно быть не менее двух маршрутизаторов.
> Попробуйте посмотреть трассы "от" и "до" ...

а почему вам так кажется?

> EP> По ту сторону бриджа находится куча 
> EP> разных устройств, конфигурируемых по IP. И вот их первоначальные 
> EP> интерфейсы определяются производителями и могут быть какими угодно. 
> Железки такого класса, которые попадали в руки мне, иногда имеют порты для настройки...
> COM, USB ... Для того, чтобы поднять конфиг и сетку ...
> Но это мелочи ...

некоторые может и имеют ;) но не те, что я держу в руках :(

> И так, вопрос:
> Какое устройство "знает" о наличии в природе сетей 
> 192.168.100.0/24, 
> 192.168.199.0/24, 
> 10.0.0.0/24

HN

> К кому обращаются все машины в сети с вопросами?

мне нужно с физической машины из физической сети 192.168.100.0/24 
достучаться до VE

> Может быть, этому устройству нужно пояснить командами типа
> route add (ip route add) и так далее ...

HN знает о физической сети 192.168.100.0/24 и о виртуальных адресах вида 
10.0.0.*/32 (это работает по умолчанию в OpenVZ). О второй сети 
192.168.100.0/24 (частично виртуальной) HN ничего не знает, не считая 
того, что через его устройство eth1 проходит бридж, соединяющий 
виртуальную и физическую части второй сети 192.168.100.0/24

> Если у вас нет реально сети 10.0.0.0/24, а устройства вида 10.0.0.*/32
> разбросаны как попало, то нужно будет добавить маршруты на каждое такое устройство.

ну это не как попало, это политика OpenVZ в области работы с venet

> Вопрос второй:
> Если у вас в сети несколько шлюзов между вашими сетями, то вероятно
> нужно будет настраивать маскирование (NAT) на каждом шлюзе для каждого исходящего адреса ...

шлюз один (HN), именно на нем я не могу настроить маскирование

> EP> И чего можно придумать для прямого доступа к VE из сети 192.168.100.0/24?
> EP> 
> А не попробовать ли выполнять маскирование исходящих запросов непосредственно на машине,
> на которой установлены VE ?

разумеется, HN - именно эта машина, на ней я и пытаюсь это делать ;)

> И рекомендую еще раз посмотреть на топологию своей сети ...
> Я не могу понять, как машина с двумя сетевыми интерфейсами может понять, 
> что адреса из сети 192.168.100.0/24 могут находиться как за интерфейсом
> eth0, так и за eth1 ...
> Это крайне анатомический путь через тернии к гландам ...
> Я не спорю, вероятно можно так извратиться, но стоит ли?

полностью с вами согласен, потому и попытался настроить маскирование 
адресов, чтобы о первой чисто физической сети 192.168.100.0/24 VE ничего 
не знали

-- 
С уважением, Прокопьев Евгений