forum.lissyara.su

Добавлено: **2010-03-08 15:14:40**

Доброго времени суток!

Прелюдия: Есть сеть А (192.168.0.0/24) и сеть Б. Сеть А — в одном отделе, Сеть Б — корпоративная предприятия (всевозможные диапазоны из 192.168.0.0/16). Сеть А находится за NAT (шлюз с pf) и позволяет всем её пользователям ходить в сеть Б.
Ничего не предвещало беды, но внезапно выяснилось, что в сети Б тоже присутствует подсеть 192.168.0.0/24 (соединена без NAT). Диапазон, зарезервированный для локальной сети, оказался в корпоративной. Как вообще такое допустил гл. админ? Ну да Бог с этим.

Собственно проблема: Есть у нас хост в сети А с Апачем. И порт (80) на шлюзе, прокинутый на этот хост. И вся сеть Б может ходить к этому хосту. Кроме дипазона 192.168.0.0/24 с сети Б. Можно ли как то обеспечить им доступ?

Насколько я понимаю происходит следующая картина: пришёл запрос с 192.168.0.0/24 Б к шлюзу на 80 порт. Шлюз радостно передал пакет к хосту в сети "А". Но ответ от хоста доставлен быть не может, т.к. шлюз маршрутизирует ответный пакет в сеть А (а не Б как хотелось бы).

Что либо менять в исторически сложившейся топологии нельзя! И обсуждать тогда нечего будет.

Спасибо за внимание.

Добавлено: **2010-03-08 15:28:38**

SNAT на шлюзе для сетки 192.168.0.0/24 (Б).

Добавлено: **2010-03-08 16:04:02**

Моя сфера влияния ограничивается Сетью А.

Нашёл такую вешь, как Binat. Не всё понял про неё.

UPD

Код: Выделить всё

Bidirectional Mapping (1:1 mapping)
A bidirectional mapping can be established by using the binat rule. A binat rule establishes a one to one mapping between an internal IP address and an external address. This can be useful, for example, to provide a web server on the internal network with its own external IP address. Connections from the Internet to the external address will be translated to the internal address and connections from the web server (such as DNS requests) will be translated to the external address. TCP and UDP ports are never modified with binat rules as they are with nat rules. 

Example: 
web_serv_int = "192.168.1.100"
web_serv_ext = "24.5.0.6"

binat on tl0 from $web_serv_int to any -> $web_serv_ext

Это лишь NAT, который устанавливаться по входящему соединению?

Добавлено: **2010-03-08 20:00:03**

ИМХО binat = DNAT+SNAT в одном правиле, за счёт того что pf - фаерол высокого уровня абстракции.
Если нет доступа к маршрутизатору из А в Б над туннелем подумайте.

Добавлено: **2010-03-08 23:36:21**

Gerk писал(а):ИМХО binat = DNAT+SNAT в одном правиле, за счёт того что pf - фаерол высокого уровня абстракции.
Если нет доступа к маршрутизатору из А в Б над туннелем подумайте.

Бинат это двусторонний нат.

Натится так:
192.168.0.x/24 --> 192.168.1.x/24
и обратно
192.168.1.y/24 --> 192.168.0.y/24

т.е сеть натится полностью IP к IP только через другую сеть.

Добавлено: **2010-03-09 7:49:09**

Va_ писал(а):Моя сфера влияния ограничивается Сетью А.

То есть фаер с pf уже неподконтролен (который на выходе из А)? Тогда сложно.

А если подконтролен, то надо НАТ-ить в обе стороны. никаких проблем. Как исходящие натятся, так и входящие будут. Надо только аккуратно написать, чтоб что надо проходило через те цепочки что надо.

P.S. одна проблема, в логах веба все клиенты будут иметь один адрес. Вопрос насколько это плохо.

forum.lissyara.su

Одинаковые IP-адреса

Одинаковые IP-адреса

Re: Одинаковые IP-адреса

Re: Одинаковые IP-адреса

Re: Одинаковые IP-адреса

Re: Одинаковые IP-адреса

Re: Одинаковые IP-адреса