Страница 1 из 1
Редирект трафика
Добавлено: 2009-08-31 8:48:41
$Alchemist
Есть линуксовый шлюз с двумя интерфейсами: один в локалку, второй в дмз.
Днс сервер находится в дмз и клиенты ходят к нему через шлюз.
Поднял на шлюзе еще один днс сервер и хочу чтобы клиенты пользовались им, а не дмзшным.
Можно ли как-то завернуть на этот шлюз проходящий через него udp трафик на 53 порт?
Почитал про redirect:
REDIRECT может использоваться только в цепочках PREROUTING и OUTPUT таблицы nat.
А нат на этом шлюзе отсутствует за ненадобностью.
Есть идеи?
Re: Редирект трафика
Добавлено: 2009-08-31 10:06:07
damir_madaga
Нарисуй схему! А то я что то не вкурил из ходя из твоего описания!
Re: Редирект трафика
Добавлено: 2009-08-31 12:20:06
Alex_hha
Моя твоя не понимать. Давай с примерами ip адресов
Re: Редирект трафика
Добавлено: 2009-08-31 12:45:25
$Alchemist
Все просто:
Lan (192.168.0.0/24) -> GW (eht0 192.168.0.1, eth1 192.168.1.1) -> DNS (192.168.1.2)
Re: Редирект трафика
Добавлено: 2009-08-31 12:47:52
Alex_hha
Что надо получить?
Re: Редирект трафика
Добавлено: 2009-08-31 13:19:33
$Alchemist
Alex_hha писал(а):Что надо получить?
в первом посте писал что надо получить
Re: Редирект трафика
Добавлено: 2009-08-31 13:39:25
paix
дать клиентам адрес днса на шлюзе.
всякие редиректы - это все от лукавого.
Re: Редирект трафика
Добавлено: 2009-08-31 13:50:09
Alex_hha
в первом посте писал что надо получить
тогда сам разбирайся
Re: Редирект трафика
Добавлено: 2009-08-31 14:59:37
NiTr0
$Alchemist писал(а):А нат на этом шлюзе отсутствует за ненадобностью.
Есть идеи?
Собрать ядро с поддержкой ната, если вы его до того заботливо вырезали за ненадобностью. Потому как ненадобность сменилась надобностью
Редирект - это собссно и есть пользование NAT (network address translation однако).
Либо - как уже указывали, сделать по людски а не через ж...
Re: Редирект трафика
Добавлено: 2009-08-31 15:14:01
$Alchemist
paix писал(а):дать клиентам адрес днса на шлюзе.
всякие редиректы - это все от лукавого.
Согласен, так и нужно делать.
Но мне попалась сетка с 200 компами на статике
Потихоньку буду переводить на dhcp, но сейчас хочу заменить старый dns и нужен быстрый вариант "одним махом".
Re: Редирект трафика
Добавлено: 2009-08-31 15:18:22
$Alchemist
Alex_hha писал(а):в первом посте писал что надо получить
тогда сам разбирайся
ну, пока от тебя 3 поста и все они ниачем - как-нибудь без тебя уж разбирусь
Re: Редирект трафика
Добавлено: 2009-08-31 15:23:42
$Alchemist
NiTr0 писал(а):$Alchemist писал(а):А нат на этом шлюзе отсутствует за ненадобностью.
Есть идеи?
Собрать ядро с поддержкой ната, если вы его до того заботливо вырезали за ненадобностью. Потому как ненадобность сменилась надобностью
Редирект - это собссно и есть пользование NAT (network address translation однако).
Либо - как уже указывали, сделать по людски а не через ж...
Это промежуточный шлюз + прокся.
Нат делает шлюз чуть по-выше.
Если сделаю на проксе нат - вся локалка полезет в дмз под одним ip, а у меня там на на серваках дмзшных свои правила для некоторых ip.
Хотя можно эти ip на проксе натить под другими адресами...
Чем больше пишешь - тем больше думаешь...
Re: Редирект трафика
Добавлено: 2009-08-31 15:29:49
paix
для начала настрой дшсп. Пусть все новые используют его.
со временем и сеть вся потихоньку переползет.
ну а насчет ната: например у меня такой проброс для джабера:
Код: Выделить всё
$C -t nat -A POSTROUTING -p tcp --dst 192.168.0.250 --dport 5223 -j SNAT --to-source 192.168.0.254
где 250 - виртуалка во внутренней сети с джабером, 254 - локальный адрес гейта.
этот проброс нужен для того, что существует днс имя публичного джабер сервера, и оно указывает на внешний айпишник роутера, для клиентов с наружи тоже есть соотвествующий проброс. А этот, чтобы у внутренних клинтов тоже работал джабер. Для днс должно быть аналогично.
Re: Редирект трафика
Добавлено: 2009-08-31 16:49:07
Alex_hha
ну, пока от тебя 3 поста и все они ниачем - как-нибудь без тебя уж разбирусь
когда научишься нормально выражаться, тогда и буду помогать. Удачи
Re: Редирект трафика
Добавлено: 2009-08-31 17:07:53
$Alchemist
Alex_hha писал(а):ну, пока от тебя 3 поста и все они ниачем - как-нибудь без тебя уж разбирусь
когда научишься нормально выражаться, тогда и буду помогать. Удачи
Если тебе не понятно как я изначально выразился - значит ты нуб. Удачи
Re: Редирект трафика
Добавлено: 2009-08-31 18:04:17
NiTr0
$Alchemist писал(а):Если сделаю на проксе нат....
Смешались в кучу кони, люди...
Почитайте LARTC, чтобы не путать собссно понятие NAT с понятием SNAT/маскарадинг.
Редирект портов - это и есть NAT. DNAT. И сделать редирект портов без ната - все равно, что посолить кашу без соли.
Уверен, после вдумчивого чтения LARTC таких вопросов возникать не будет.
Re: Редирект трафика
Добавлено: 2009-08-31 23:07:03
Alex_hha
Смешались в кучу кони, люди...
Почитайте LARTC, чтобы не путать собссно понятие NAT с понятием SNAT/маскарадинг.
ты чо, он очень ясно выразился
2 NiTr0
но iproute тут будет явно лишним, имхо. Кстати как и SNAT/DNAT. Это уже одевание штанов через голову
Re: Редирект трафика
Добавлено: 2009-08-31 23:28:44
NiTr0
Alex_hha писал(а):но iproute тут будет явно лишним, имхо.
Таки да, с года 1.5 назад активно вникал в iptables + iproute, потому мануалы смешались в памяти... Вместо LARTC читать выше "iptables tutorial"
Alex_hha писал(а): Кстати как и SNAT/DNAT. Это уже одевание штанов через голову
По сути, redirect - разновидность DNAT. Только редиректится траф не на удаленный сервер, а на эту же машину на некий порт. И происходит все это ессно в цепочках nat, которые у топикстартера по неизвестным причинам вызывают страх.
Re: Редирект трафика
Добавлено: 2009-09-01 10:41:22
Alex_hha
По сути, redirect - разновидность DNAT. Только редиректится траф не на удаленный сервер, а на эту же машину на некий порт. И происходит все это ессно в цепочках nat, которые у топикстартера по неизвестным причинам вызывают страх.
это все понятно. Я лишь говорил о том, что не надо такого хотеть, а выдавать ДНС из основной сети