Доброго времени суток!
Прелюдия: Есть сеть А (192.168.0.0/24) и сеть Б. Сеть А — в одном отделе, Сеть Б — корпоративная предприятия (всевозможные диапазоны из 192.168.0.0/16). Сеть А находится за NAT (шлюз с pf) и позволяет всем её пользователям ходить в сеть Б.
Ничего не предвещало беды, но внезапно выяснилось, что в сети Б тоже присутствует подсеть 192.168.0.0/24 (соединена без NAT). Диапазон, зарезервированный для локальной сети, оказался в корпоративной. Как вообще такое допустил гл. админ? Ну да Бог с этим.
Собственно проблема: Есть у нас хост в сети А с Апачем. И порт (80) на шлюзе, прокинутый на этот хост. И вся сеть Б может ходить к этому хосту. Кроме дипазона 192.168.0.0/24 с сети Б. Можно ли как то обеспечить им доступ?
Насколько я понимаю происходит следующая картина: пришёл запрос с 192.168.0.0/24 Б к шлюзу на 80 порт. Шлюз радостно передал пакет к хосту в сети "А". Но ответ от хоста доставлен быть не может, т.к. шлюз маршрутизирует ответный пакет в сеть А (а не Б как хотелось бы).
Что либо менять в исторически сложившейся топологии нельзя! И обсуждать тогда нечего будет.
Спасибо за внимание.
Одинаковые IP-адреса
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
- сержант
- Сообщения: 194
- Зарегистрирован: 2009-09-23 23:01:37
- Откуда: Симферополь, UA
Re: Одинаковые IP-адреса
SNAT на шлюзе для сетки 192.168.0.0/24 (Б).
-
- рядовой
- Сообщения: 36
- Зарегистрирован: 2008-10-07 14:44:36
Re: Одинаковые IP-адреса
Моя сфера влияния ограничивается Сетью А.
Нашёл такую вешь, как Binat. Не всё понял про неё.
UPD
Это лишь NAT, который устанавливаться по входящему соединению?
Нашёл такую вешь, как Binat. Не всё понял про неё.
UPD
Код: Выделить всё
Bidirectional Mapping (1:1 mapping)
A bidirectional mapping can be established by using the binat rule. A binat rule establishes a one to one mapping between an internal IP address and an external address. This can be useful, for example, to provide a web server on the internal network with its own external IP address. Connections from the Internet to the external address will be translated to the internal address and connections from the web server (such as DNS requests) will be translated to the external address. TCP and UDP ports are never modified with binat rules as they are with nat rules.
Example:
web_serv_int = "192.168.1.100"
web_serv_ext = "24.5.0.6"
binat on tl0 from $web_serv_int to any -> $web_serv_ext
Это лишь NAT, который устанавливаться по входящему соединению?
-
- сержант
- Сообщения: 194
- Зарегистрирован: 2009-09-23 23:01:37
- Откуда: Симферополь, UA
Re: Одинаковые IP-адреса
ИМХО binat = DNAT+SNAT в одном правиле, за счёт того что pf - фаерол высокого уровня абстракции.
Если нет доступа к маршрутизатору из А в Б над туннелем подумайте.
Если нет доступа к маршрутизатору из А в Б над туннелем подумайте.
- LMik
- капитан
- Сообщения: 1852
- Зарегистрирован: 2007-07-17 9:14:39
- Откуда: МО
- Контактная информация:
Re: Одинаковые IP-адреса
Бинат это двусторонний нат.Gerk писал(а):ИМХО binat = DNAT+SNAT в одном правиле, за счёт того что pf - фаерол высокого уровня абстракции.
Если нет доступа к маршрутизатору из А в Б над туннелем подумайте.
Натится так:
192.168.0.x/24 --> 192.168.1.x/24
и обратно
192.168.1.y/24 --> 192.168.0.y/24
т.е сеть натится полностью IP к IP только через другую сеть.
BSD... Join the dark side.
Виpус детям не игpушка, не товаpищ и не дpуг!
Виpус детям не игpушка, не товаpищ и не дpуг!
-
- ст. лейтенант
- Сообщения: 1375
- Зарегистрирован: 2010-02-05 0:21:40
Re: Одинаковые IP-адреса
То есть фаер с pf уже неподконтролен (который на выходе из А)? Тогда сложно.Va_ писал(а):Моя сфера влияния ограничивается Сетью А.
А если подконтролен, то надо НАТ-ить в обе стороны. никаких проблем. Как исходящие натятся, так и входящие будут. Надо только аккуратно написать, чтоб что надо проходило через те цепочки что надо.
P.S. одна проблема, в логах веба все клиенты будут иметь один адрес. Вопрос насколько это плохо.