Редирект трафика

[$Alchemist]

Есть линуксовый шлюз с двумя интерфейсами: один в локалку, второй в дмз.
Днс сервер находится в дмз и клиенты ходят к нему через шлюз.
Поднял на шлюзе еще один днс сервер и хочу чтобы клиенты пользовались им, а не дмзшным.
Можно ли как-то завернуть на этот шлюз проходящий через него udp трафик на 53 порт?
Почитал про redirect:

REDIRECT может использоваться только в цепочках PREROUTING и OUTPUT таблицы nat.

А нат на этом шлюзе отсутствует за ненадобностью.
Есть идеи?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[damir_madaga]

Нарисуй схему! А то я что то не вкурил из ходя из твоего описания!

[Alex_hha]

Моя твоя не понимать. Давай с примерами ip адресов

[$Alchemist]

Все просто:
Lan (192.168.0.0/24) -> GW (eht0 192.168.0.1, eth1 192.168.1.1) -> DNS (192.168.1.2)

[Alex_hha]

Что надо получить?

[$Alchemist]

Что надо получить?

в первом посте писал что надо получить

[paix]

дать клиентам адрес днса на шлюзе.
всякие редиректы - это все от лукавого.

[Alex_hha]

в первом посте писал что надо получить

тогда сам разбирайся

[NiTr0]

А нат на этом шлюзе отсутствует за ненадобностью.
Есть идеи?

Собрать ядро с поддержкой ната, если вы его до того заботливо вырезали за ненадобностью. Потому как ненадобность сменилась надобностью Редирект - это собссно и есть пользование NAT (network address translation однако).
Либо - как уже указывали, сделать по людски а не через ж...

[$Alchemist]

дать клиентам адрес днса на шлюзе.
всякие редиректы - это все от лукавого.

Согласен, так и нужно делать.
Но мне попалась сетка с 200 компами на статике
Потихоньку буду переводить на dhcp, но сейчас хочу заменить старый dns и нужен быстрый вариант "одним махом".

[$Alchemist]

в первом посте писал что надо получить

тогда сам разбирайся

ну, пока от тебя 3 поста и все они ниачем - как-нибудь без тебя уж разбирусь

[$Alchemist]

А нат на этом шлюзе отсутствует за ненадобностью.
Есть идеи?

Собрать ядро с поддержкой ната, если вы его до того заботливо вырезали за ненадобностью. Потому как ненадобность сменилась надобностью Редирект - это собссно и есть пользование NAT (network address translation однако).
Либо - как уже указывали, сделать по людски а не через ж...

Это промежуточный шлюз + прокся.
Нат делает шлюз чуть по-выше.
Если сделаю на проксе нат - вся локалка полезет в дмз под одним ip, а у меня там на на серваках дмзшных свои правила для некоторых ip.
Хотя можно эти ip на проксе натить под другими адресами...
Чем больше пишешь - тем больше думаешь...

[paix]

для начала настрой дшсп. Пусть все новые используют его.
со временем и сеть вся потихоньку переползет.

ну а насчет ната: например у меня такой проброс для джабера:

Код: Выделить всё

 $C -t nat -A POSTROUTING -p tcp --dst 192.168.0.250 --dport 5223 -j SNAT --to-source 192.168.0.254   

где 250 - виртуалка во внутренней сети с джабером, 254 - локальный адрес гейта.
этот проброс нужен для того, что существует днс имя публичного джабер сервера, и оно указывает на внешний айпишник роутера, для клиентов с наружи тоже есть соотвествующий проброс. А этот, чтобы у внутренних клинтов тоже работал джабер. Для днс должно быть аналогично.

[Alex_hha]

ну, пока от тебя 3 поста и все они ниачем - как-нибудь без тебя уж разбирусь

когда научишься нормально выражаться, тогда и буду помогать. Удачи

[$Alchemist]

ну, пока от тебя 3 поста и все они ниачем - как-нибудь без тебя уж разбирусь

когда научишься нормально выражаться, тогда и буду помогать. Удачи

Если тебе не понятно как я изначально выразился - значит ты нуб. Удачи

[NiTr0]

Если сделаю на проксе нат....

Смешались в кучу кони, люди...
Почитайте LARTC, чтобы не путать собссно понятие NAT с понятием SNAT/маскарадинг.
Редирект портов - это и есть NAT. DNAT. И сделать редирект портов без ната - все равно, что посолить кашу без соли.
Уверен, после вдумчивого чтения LARTC таких вопросов возникать не будет.

[Alex_hha]

Смешались в кучу кони, люди...
Почитайте LARTC, чтобы не путать собссно понятие NAT с понятием SNAT/маскарадинг.

ты чо, он очень ясно выразился

2 NiTr0
но iproute тут будет явно лишним, имхо. Кстати как и SNAT/DNAT. Это уже одевание штанов через голову

[NiTr0]

но iproute тут будет явно лишним, имхо.

Таки да, с года 1.5 назад активно вникал в iptables + iproute, потому мануалы смешались в памяти... Вместо LARTC читать выше "iptables tutorial"

Кстати как и SNAT/DNAT. Это уже одевание штанов через голову

По сути, redirect - разновидность DNAT. Только редиректится траф не на удаленный сервер, а на эту же машину на некий порт. И происходит все это ессно в цепочках nat, которые у топикстартера по неизвестным причинам вызывают страх.

[Alex_hha]

По сути, redirect - разновидность DNAT. Только редиректится траф не на удаленный сервер, а на эту же машину на некий порт. И происходит все это ессно в цепочках nat, которые у топикстартера по неизвестным причинам вызывают страх.

это все понятно. Я лишь говорил о том, что не надо такого хотеть, а выдавать ДНС из основной сети