подмен ареса источника

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
ASD
мл. сержант
Сообщения: 112
Зарегистрирован: 2008-12-25 20:19:54

подмен ареса источника

Непрочитанное сообщение ASD » 2010-05-28 13:44:12

Добрый день!
Гляньте схемку....
вообщем надо что бы сетка 10.96.6.0/24 могла достучатся до сервера 172.16.21.2, при этом не затрагивая настройки оборудования за туннелем.
спасибо
Вложения
Чepmeж1.jpg
Последний раз редактировалось f_andrey 2010-05-28 14:53:45, всего редактировалось 1 раз.
Причина: Автору, выбирайте пожалуйста раздел соответствуюший тематике вашего сообщения.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Gloft
лейтенант
Сообщения: 645
Зарегистрирован: 2008-03-09 11:32:12
Откуда: Москва

Re: подмен ареса источника

Непрочитанное сообщение Gloft » 2010-05-28 14:39:35

Если нужна подмен адреса источника то используй nat на freebsd.

ASD
мл. сержант
Сообщения: 112
Зарегистрирован: 2008-12-25 20:19:54

Re: подмен ареса источника

Непрочитанное сообщение ASD » 2010-05-28 14:49:58

Gloft писал(а):Если нужна подмен адреса источника то используй nat на freebsd.
Это понятно....посмотрите маршрутизацию и примечание без изменения конфигурации оборудования за туннелем....т.е. не совсем то...как вариант создание виртуальной сетевой карты из сети с адресом из 10.96.7.0/24 и нат вешать на эту карту + хитрая маска

Gloft
лейтенант
Сообщения: 645
Зарегистрирован: 2008-03-09 11:32:12
Откуда: Москва

Re: подмен ареса источника

Непрочитанное сообщение Gloft » 2010-05-28 14:53:11

Насколько я понял это значит не трогать все что стоит за линуксом в 172 сети и сам линукс.
Тоесть feebsd трогать нельзя?

ASD
мл. сержант
Сообщения: 112
Зарегистрирован: 2008-12-25 20:19:54

Re: подмен ареса источника

Непрочитанное сообщение ASD » 2010-05-28 15:00:08

Gloft писал(а):Насколько я понял это значит не трогать все что стоит за линуксом в 172 сети и сам линукс.
да
Gloft писал(а): Тоесть feebsd трогать нельзя?
можно, он мой :)

Gloft
лейтенант
Сообщения: 645
Зарегистрирован: 2008-03-09 11:32:12
Откуда: Москва

Re: подмен ареса источника

Непрочитанное сообщение Gloft » 2010-05-28 15:06:07

Тогда почему вариант с натом тебя не устраивает?
Настраиваешь на freebsd нат на виртуальный интерфейс ( тот который 10.1.1.2), прописываешь маршрутизацию до 172 сети через 10.1.1.1 и должно работать.
Только с одним условием если в линуксе есть маршрутизация между 172 сетью и 10.1.1.х или хотябы до хотста 10.1.1.2.

ASD
мл. сержант
Сообщения: 112
Зарегистрирован: 2008-12-25 20:19:54

Re: подмен ареса источника

Непрочитанное сообщение ASD » 2010-05-28 15:14:17

Gloft писал(а):Тогда почему вариант с натом тебя не устраивает?
Настраиваешь на freebsd нат на виртуальный интерфейс, прописываешь маршрутизацию до 172 сети через 10.1.1.1 и должно работать.
Только с одним условием если в линуксе есть маршрутизация между 172 сетью и 10.1.1.х или хотябы до хотста 10.1.1.2.

я там подробно нарисовал...
там есть маршрут до 10.96.7.0/24...и все, но не для 10.96.6.0/24
т.е. до попадания трафика в туннель он должен быть "занатин" с соурсом допустим 10.96.7.111...
на фряхе у меня 2 интерфейса 10.96.53.2 и 10.1.1.2

Gloft
лейтенант
Сообщения: 645
Зарегистрирован: 2008-03-09 11:32:12
Откуда: Москва

Re: подмен ареса источника

Непрочитанное сообщение Gloft » 2010-05-28 15:18:57

Сама фри пингует почтовый сервер?

ASD
мл. сержант
Сообщения: 112
Зарегистрирован: 2008-12-25 20:19:54

Re: подмен ареса источника

Непрочитанное сообщение ASD » 2010-05-28 15:20:22

Gloft писал(а):Сама фри пингует почтовый сервер?
нет

Gloft
лейтенант
Сообщения: 645
Зарегистрирован: 2008-03-09 11:32:12
Откуда: Москва

Re: подмен ареса источника

Непрочитанное сообщение Gloft » 2010-05-28 15:23:49

из какого либо компа в 10.96.7.0/24 сервер доступен?

ASD
мл. сержант
Сообщения: 112
Зарегистрирован: 2008-12-25 20:19:54

Re: подмен ареса источника

Непрочитанное сообщение ASD » 2010-05-28 15:25:51

Gloft писал(а):из какого либо компа в 10.96.7.0/24 сервер доступен?
конечно
еще раз уточняю - доступ нужен из 10.96.6.0/24

Gloft
лейтенант
Сообщения: 645
Зарегистрирован: 2008-03-09 11:32:12
Откуда: Москва

Re: подмен ареса источника

Непрочитанное сообщение Gloft » 2010-05-28 15:36:35

да ступил , был неправ.

Аватара пользователя
EARL
мл. сержант
Сообщения: 85
Зарегистрирован: 2010-05-24 9:05:18
Откуда: Тамбов

Re: подмен ареса источника

Непрочитанное сообщение EARL » 2010-05-28 16:06:35

ASD писал(а): до попадания трафика в туннель он должен быть "занатин" с соурсом допустим 10.96.7.111...
на фряхе у меня 2 интерфейса 10.96.53.2 и 10.1.1.2
Можно через ipfw и kernel nat попробовать так

Код: Выделить всё

ipfw nat 1 config ip 10.96.7.111 same_ports log
ipfw add nat 1 ip from 10.96.6.0/24 to 172.16.21.2 out
ipfw add nat 1 ip from 172.16.21.2 to me in
ipfw add fwd 10.1.1.1 ip from 10.96.6.0/24 to 172.21.2
Еще нужно поставить переменную

Код: Выделить всё

sysctl net.inet.ip.fw.one_pass=0
Не проверял, но по-моему это должно работать даже без всяких виртуальных интерфейсов.

Аватара пользователя
kase666
проходил мимо
Сообщения: 6
Зарегистрирован: 2010-05-30 7:10:56

Re: подмен ареса источника

Непрочитанное сообщение kase666 » 2010-05-30 18:47:26

маленькая фриска даже перед каталистом решит ваши проблемы...
или жалко pentium1 или малюсенькой виртуальной машины?

:smile:

ASD
мл. сержант
Сообщения: 112
Зарегистрирован: 2008-12-25 20:19:54

Re: подмен ареса источника

Непрочитанное сообщение ASD » 2010-05-31 9:33:50

EARL писал(а): Можно через ipfw и kernel nat попробовать так

Код: Выделить всё

ipfw nat 1 config ip 10.96.7.111 same_ports log
ipfw add nat 1 ip from 10.96.6.0/24 to 172.16.21.2 out
ipfw add nat 1 ip from 172.16.21.2 to me in
ipfw add fwd 10.1.1.1 ip from 10.96.6.0/24 to 172.21.2
Еще нужно поставить переменную

Код: Выделить всё

sysctl net.inet.ip.fw.one_pass=0
Не проверял, но по-моему это должно работать даже без всяких виртуальных интерфейсов.
не работает...нат не отрабатывает

Код: Выделить всё

gw# ipfw show
00010   0      0 allow ip from any to any via lo0
00015   0      0 check-state
.....................................................................................................................
00030  30   1606 allow ip from any to any out via tun0
00031  18    862 allow ip from any to any in via tun0

00033   0      0 allow ip from 10.96.7.0/24 to 172.16.21.2 in via re0
00034   0      0 allow ip from 172.16.21.2 to 10.96.7.0/24 out via re0

00036   0      0 nat 1 ip from 10.96.6.7 to 172.16.21.2 out
00037   0      0 nat 1 ip from 172.16.21.2 to me in
00038   0      0 fwd 10.1.1.1 ip from 10.96.7.207 to 172.16.21.2 out via tun0

.....................................................................................................................


gw# ipfw nat show config
ipfw nat 1 config ip 10.96.7.207 log same_ports
gw#
как можно посмотреть что сейчас твориться в нате?

Аватара пользователя
EARL
мл. сержант
Сообщения: 85
Зарегистрирован: 2010-05-24 9:05:18
Откуда: Тамбов

Re: подмен ареса источника

Непрочитанное сообщение EARL » 2010-05-31 9:52:58

Нат неотрабатывает, потому что его нужно поставить раньше правил разрешения хождения пакетов через туннель, т.е. перед строчками

Код: Выделить всё

00030  30   1606 allow ip from any to any out via tun0
00031  18    862 allow ip from any to any in via tun0

ASD
мл. сержант
Сообщения: 112
Зарегистрирован: 2008-12-25 20:19:54

Re: подмен ареса источника

Непрочитанное сообщение ASD » 2010-05-31 10:04:55

EARL писал(а):Нат неотрабатывает, потому что его нужно поставить раньше правил разрешения хождения пакетов через туннель, т.е. перед строчками

Код: Выделить всё

00030  30   1606 allow ip from any to any out via tun0
00031  18    862 allow ip from any to any in via tun0
точно...запарился...работает
даже без

Код: Выделить всё

fwd 10.1.1.1 ip from 10.96.7.207 to 172.16.21.2 out via tun0
спасибо!!!