Проблема с NAT

[Canabis]

В офисе настроен NAT с помощью squid на сервере с ALT Linux. На клиентских компьютерах IP этого сервера прописан как шлюз. Proxy не используется. В squid.conf прописано "http_port XXX transparent". Настраивал сервер ALT Linux другой человек, но я его сейчас обслуживаю по долгу службы.
Сегодня провайдер, предоставляющий доступ в Инет, сообщил о том, что они наблюдают исходящий трафик с некоторых внутренних IP. Получается, что NAT не работает или работает не правильно.
Подскажите, пожалуйста, в каком направлении мне начать копать, чтобы разобраться в этом.

[Drool]

Уточните - почему исходящий траффик с внутренних машин расценивается как неправильная работа NAT?

[Canabis]

Разве NAT не должен скрывать внутренние IP? Провайдер не должен видеть внутренние IP. Он должен видеть один внешний IP - IP сервера.

[Drool]

Разве NAT не должен скрывать внутренние IP? Провайдер не должен видеть внутренние IP. Он должен видеть один внешний IP - IP сервера.

А провайдер указал с каких IP идет исходящий траффик?

[Canabis]

Да адреса указал. Они реально существуют во внутренней сети. Внутренняя сеть состоит из нескольких сегментов 192.168.A.*, 192.168.B.* и т.д. Адреса были из разных сегментов.

[Alexei_VM]

В офисе настроен NAT с помощью squid на сервере с ALT Linux.

А что, Squid умеет NAT? Это две совершенно разные вещи.

NAT делается путем iptables, и при этом действительно сервер указывается гейтом для внутренней сети. Усилиями того же iptables траффик "на 80 порт" отправляется на Transparent proxy, сделанный путем Squid. При этом внутренние адреса можно увидеть, если искать. Многие программы (браузер или аська) и не стремятся скрыть, что они запущены на компе с локальным адресом. Так как адрес содержится не в заголовках пакетов, а в содержимом передачи, то и подменять его никто не берется.

В каком именно траффике провайдер углядел лишние адреса? И что ему в этом не нравится?

[Canabis]

Провайдер сообщил о исходящем трафике по 80 порту (браузеры).
Ему (провайдеру) все-равно, просто в ходе просмотра статистики по другому вопросу заметили.

Многие программы (браузер или аська) и не стремятся скрыть, что они запущены на компе с локальным адресом. Так как адрес содержится не в заголовках пакетов, а в содержимом передачи, то и подменять его никто не берется.

Я так понимаю вы говорите про данные прикладного уровня модели OSI, а провайдер, думаю, смотрел по данным, собранным по сетевому уровню.
А на сетевом уровне, насколько я понимаю, NAT должен подменять адрес.

[Alexei_VM]

А на сетевом уровне, насколько я понимаю, NAT должен подменять адрес.

А проходят ли пакеты через НАТ? Не уверен совсем. Скорее их iptables заворачивает на сквид, то есть на обычный прокси. А должен ли прокси что-то там подменять? Во всяком случае, НАТ он делать не обязан точно.

[Drool]

Что показывает

Код: [Выделить]

iptables -L -t nat
? У меня вот так:

Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
DNAT       tcp  --  192.168.1.0/24       anywhere            tcp dpt:http to:192.168.1.250:3128
DNAT       tcp  --  192.168.5.0/24       anywhere            tcp dpt:http to:192.168.1.250:3128

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  0    --  192.168.5.0/24       anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

[Canabis]

> iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
REDIRECT   tcp  --  anywhere             anywhere            tcp dpt:http redir ports 3128
DNAT       tcp  --  anywhere             anywhere            tcp dpt:XXX to:192.168.1.2:22
DNAT       tcp  --  anywhere             anywhere            tcp dpt:XXX to:192.168.2.2:22
DNAT       tcp  --  anywhere             anywhere            tcp dpt:XXX to:192.168.0.101:22
DNAT       tcp  --  anywhere             anywhere            tcp dpt:XXX to:192.168.0.102:22
DNAT       tcp  --  anywhere             anywhere            tcp dpt:XXX to:192.168.0.103:22
DNAT       tcp  --  anywhere             anywhere            tcp dpt:XXX to:192.168.0.104:22
DNAT       tcp  --  anywhere             anywhere            tcp dpt:XXX to:192.168.3.2:22
DNAT       tcp  --  anywhere             anywhere            tcp dpt:XXX to:192.168.0.106:22
DNAT       tcp  --  anywhere             anywhere            tcp dpt:XXX to:192.168.0.120:22
DNAT       tcp  --  anywhere             anywhere            tcp dpt:XXX to:192.168.0.103:5432
DNAT       tcp  --  anywhere             anywhere            tcp dpt:XXX to:192.168.0.101:53
DNAT       udp  --  anywhere             anywhere            udp dpt:XXX to:192.168.0.101:53
DNAT       tcp  --  anywhere             anywhere            tcp dpt:XXX to:192.168.0.101:53
DNAT       udp  --  anywhere             anywhere            udp dpt:XXX to:192.168.0.101:53
DNAT       tcp  --  anywhere             anywhere            tcp dpt:XXX to:192.168.0.102:25
DNAT       tcp  --  anywhere             anywhere            tcp dpt:XXX to:192.168.0.102:110
DNAT       tcp  --  anywhere             anywhere            tcp dpt:XXX to:192.168.0.102:143
DNAT       tcp  --  anywhere             anywhere            tcp dpt:XXX to:192.168.0.102:993
DNAT       tcp  --  anywhere             anywhere            tcp dpt:XXX to:192.168.0.102:995
DNAT       tcp  --  anywhere             anywhere            tcp dpt:XXX to:192.168.0.102:25
DNAT       tcp  --  anywhere             anywhere            tcp dpt:XXX to:192.168.0.104:21
DNAT       tcp  --  anywhere             anywhere            tcp dpt:XXX to:192.168.0.104:80
DNAT       tcp  --  anywhere             anywhere            tcp dpt:XXX to:192.168.1.31:4899
...
DNAT       tcp  --  anywhere             anywhere            tcp dpt:XXX to:192.168.5.104:4899

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
SNAT       0    --  anywhere             anywhere            to:212.38.100.50

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

[Canabis]

XXX - разные порты

[Drool]

Попробуйте спросить здесь: https://lists.altlinux.org/mailman/listinfo/sysadmins