Iptables и Radmin

[Sergulet]

Здравствуйте,
Внешняя сеть (192.168.1.0/24) внутренняя (192.168.2.0/24).
На шлюзе Altlinux СПТ 6.0 десктоп внешний eth0 (192.168.1.10) и внутр. eth2 (192.168.2.10).
Нужен доступ  Radmin с 192.168.1.47 и 192.168.1.21 к 192.168.2.2 и 192.168.2.3. Пинг между ними есть.
Указал так не помогает.

Код: [Выделить]

-A PREROUTING -s 192.168.1.47 -p tcp --dport 4899 -j DNAT --to-destination 192.168.2.2
-A PREROUTING -s 192.168.1.47 -p tcp --dport 4899 -j DNAT --to-destination 192.168.2.3
Полный листинг.

Код: [Выделить]

*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]

-A FORWARD  -i eth2 -d 192.168.1.1 -s 192.168.2.0/24 -j ACCEPT
-A FORWARD  -i eth0 -s 192.168.1.1 -d 192.168.2.0/24 -j ACCEPT

-A FORWARD  -i eth2 -d 192.168.1.3 -s 192.168.2.0/24 -j ACCEPT
-A FORWARD  -i eth0 -s 192.168.1.3 -d 192.168.2.0/24 -j ACCEPT

-A FORWARD  -i eth2 -d 192.168.1.4 -s 192.168.2.0/24 -j ACCEPT
-A FORWARD  -i eth0 -s 192.168.1.4 -d 192.168.2.0/24 -j ACCEPT

-A FORWARD  -i eth2 -d 192.168.1.5 -s 192.168.2.0/24 -j ACCEPT
-A FORWARD  -i eth0 -s 192.168.1.5 -d 192.168.2.0/24 -j ACCEPT

-A FORWARD  -i eth2 -d 192.168.1.8 -s 192.168.2.0/24 -j ACCEPT
-A FORWARD  -i eth0 -s 192.168.1.8 -d 192.168.2.0/24 -j ACCEPT

-A FORWARD  -i eth2 -d 192.168.1.14 -s 192.168.2.0/24 -j ACCEPT
-A FORWARD  -i eth0 -s 192.168.1.14 -d 192.168.2.0/24 -j ACCEPT

-A FORWARD  -i eth2 -d 192.168.1.21 -s 192.168.2.0/24 -j ACCEPT
-A FORWARD  -i eth0 -s 192.168.1.21 -d 192.168.2.0/24 -j ACCEPT

-A FORWARD  -i eth2 -d 192.168.1.40 -s 192.168.2.0/24 -j ACCEPT
-A FORWARD  -i eth0 -s 192.168.1.40 -d 192.168.2.0/24 -j ACCEPT

-A FORWARD  -i eth2 -d 192.168.1.47 -s 192.168.2.0/24 -j ACCEPT
-A FORWARD  -i eth0 -s 192.168.1.47 -d 192.168.2.0/24 -j ACCEPT

-A INPUT -i eth0 -s 192.168.1.47 -d 192.168.1.10 -j ACCEPT
-A OUTPUT -o eth0 -s 192.168.1.10 -d 192.168.1.47 -j ACCEPT

-A INPUT -i eth0 -s 192.168.1.21 -d 192.168.1.10 -j ACCEPT
-A OUTPUT -o eth0 -s 192.168.1.10 -d 192.168.1.21 -j ACCEPT

-A INPUT -i eth0 -j DROP
-A OUTPUT -o eth0 -j DROP

-A INPUT -i eth2 -j DROP
-A OUTPUT -o eth2 -j DROP

-A FORWARD  -i eth2 -j DROP
-A FORWARD  -i eth0 -j DROP

COMMIT

*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -s 192.168.1.47 -p tcp --dport 4899 -j DNAT --to-destination 192.168.2.2
-A PREROUTING -s 192.168.1.47 -p tcp --dport 4899 -j DNAT --to-destination 192.168.2.3
-A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/24 -o eth2 -j MASQUERADE
COMMIT

*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:MANGLE_OUTPUT - [0:0]
:MANGLE_PREROUTING - [0:0]
-A FORWARD -i eth2 -o eth0 -j ACCEPT
-A FORWARD -i eth0 -o eth2 -j ACCEPT
COMMIT
Заранее спасибо!

[Знайка]

Код: [Выделить]

-A PREROUTING -s 192.168.1.47 -p tcp --dport 4899 -j DNAT --to-destination 192.168.2.2
-A PREROUTING -s 192.168.1.47 -p tcp --dport 4899 -j DNAT --to-destination 192.168.2.3


И как бедной программе узнать, какое из правил должно сработать?

И с чего вы решили, что не работает? На одну из двух, то точно подключится должно? Если правильно подключаетесь. Расскажите, как подключаетесь.

И нескромный вопрос, зачем вам маскардинг между двумя сегментами?
И второй вопрос, почему вы используете MASQUERADE.

И подсказка. То что вы хотите, теми методами что вделаете, вы не реализуете.

[Sergulet]

И с чего вы решили, что не работает? На одну из двух, то точно подключится должно? Если правильно подключаетесь. Расскажите, как подключаетесь.

Как все.В радмин вьюер вбиваю ип-адрес радмин сервер и подключиться.

И второй вопрос, почему вы используете MASQUERADE

Потому что скоро во второй сети будет DHCP-сервер

То что вы хотите, теми методами что вделаете, вы не реализуете.

Я еще пока только разбираюсь.

[Знайка]

Как все.В радмин вьюер вбиваю ип-адрес радмин сервер и подключиться.

Тут напишите, что вбиваете.

И второй вопрос, почему вы используете MASQUERADE

Потому что скоро во второй сети будет DHCP-сервер

Не вижу связи.

То что вы хотите, теми методами что вделаете, вы не реализуете.

Я еще пока только разбираюсь.

Бумажка, карандаш - лучший помощник.

[Sergulet]

Тут напишите, что вбиваете.

Radmin Viewer -> соединиться с -> 192.168.2.3:4899 -> Соединение с 192.168.2.3.Не удается соединиться с сервером

Не вижу связи.

В руководстве по Iptables указано

Маскарадинг (MASQUERADE) в основе своей представляет то же самое, что и SNAT только не имеет ключа --to-source. Причиной тому то, что маскарадинг может работать, например, с dialup подключением или DHCP, т.е. в тех случаях, когда IP адрес присваивается устройству динамически. Если у вас имеется динамическое подключение, то нужно использовать маскарадинг, если же у вас статическое IP подключение, то бесспорно лучшим выходом будет использование действия SNAT

[asy]

Маскарадинг (MASQUERADE) в основе своей представляет то же самое, что и SNAT только не имеет ключа --to-source. Причиной тому то, что маскарадинг может работать, например, с dialup подключением или DHCP, т.е. в тех случаях, когда IP адрес присваивается устройству динамически. Если у вас имеется динамическое подключение, то нужно использовать маскарадинг, если же у вас статическое IP подключение, то бесспорно лучшим выходом будет использование действия SNAT

Имется ввиду, что на шлюзе исходящий интерфейс с динамическим IP. То есть, не известно заранее, какой --to-source.

[Знайка]

Radmin Viewer -> соединиться с -> 192.168.2.3:4899 -> Соединение с 192.168.2.3.Не удается соединиться с сервером

Вот это тогда лишнее:

Код: [Выделить]

-A PREROUTING -s 192.168.1.47 -p tcp --dport 4899 -j DNAT --to-destination 192.168.2.2
-A PREROUTING -s 192.168.1.47 -p tcp --dport 4899 -j DNAT --to-destination 192.168.2.3


Да, кстати, с какого клиента (IP интересен) вы подключаетесь, и в этот момент, оба сервера работают?

Маскарадинг (MASQUERADE) ....

То есть, вы хотите, что бы один из интерфейсов на шлюзе получал адрес динамически?
Оригинальное решение. Только продумайте сначала, как вы на других компьютерах в сети будете трафик маршрутизировать.

[Sergulet]

Понятно спасибо.

Да, кстати, с какого клиента (IP интересен) вы подключаетесь, и в этот момент, оба сервера работают?

Подключаюсь с 192.168.1.47, оба сервера работают.

[Знайка]

Подключаюсь с 192.168.1.47, оба сервера работают.

Просто если бы вы на листочке прикинули, как адреса меняться будут, вы бы сами это нашли.
А так, вы при коннекте на гейт, подключались бы на сервер.

И на будущее. Что-то у меня не получалось на Альте заставить одновременно работать и SNAT, и DNAT. А именно это вы делали. И похоже именно на эти грабли и наступили.

[asy]

И на будущее. Что-то у меня не получалось на Альте заставить одновременно работать и SNAT, и DNAT. А именно это вы делали. И похоже именно на эти грабли и наступили.

Надо просто понимать, как работает iptables, и не будет проблем в понимании их взаимодействия. И ALT, как не сложно догадаться, здесь совершенно не при чём.

[asy]

Нужен доступ  Radmin с 192.168.1.47 и 192.168.1.21 к 192.168.2.2 и 192.168.2.3. Пинг между ними есть.

Знайка задал правильный вопрос: "И нескромный вопрос, зачем вам маскардинг между двумя сегментами?"

Вам надо, чтобы работало, или это академический интерес ?
Или же есть какие-то неозвученные условия ?

[Sergulet]

Да нет никаких условий, я прочитал, так понял, у меня заработало.
Сейчас объяснили, поменял MASQUERADE на SNAT, все также работает. Radmin по прежнему не работает.

[asy]

Да нет никаких условий, я прочитал, так понял, у меня заработало.
Сейчас объяснили, поменял MASQUERADE на SNAT, все также работает. Radmin по прежнему не работает.

Ну, если "чтоб работало", то никаких  MASQUERADE/SNAT не надо вообще. В одном сегменте у всех default gw 192.168.1.10, в другом 192.168.2.10 (впрочем, с MASQUERADE/SNAT default gw ровно такие же). И всё будет работать. Для шлюза эти сети доступны, как напрямую подключенные, он разберётся, куда пакеты смаршрутизировать.

[Sergulet]

Все так и сделано
На Radmin Viewer основной шлюз - 192.168.1.10
На Radmin Server основной шлюз - 192.168.2.10.

[Знайка]

Да нет никаких условий, я прочитал, так понял, у меня заработало.

Вы не правильно поняли.