Выделение из пула реального IP адресса

[csander]

Есть три сервера, два windows один AltLinux, он же является шлюзом. Провайдер предоставляет основной выделенный IP + еще 4. Возможно ли средствами Linux выделить из пула эти IP серверам и локальным машинам?

[Drool]

Я правильно понимаю, что Вы хотите по обращению извне на IP-адрес получить доступ до внутренних машин? Если да - то это реально, с одной оговоркой - один IP между собой могут делить несколько машин, но только по разным портам. К примеру на одной машине поднять ftp-сервер, на другом - http и т.п.

[csander]

Да в принципе так, но еще есть задача - к одному из сервера нужно будет подсоединяться терминально, чтобы работать удаленно, как это сделать?

[Drool]

Да в принципе так, но еще есть задача - к одному из сервера нужно будет подсоединяться терминально, чтобы работать удаленно, как это сделать?

Точно так же - заворачивать приходящий запрос на порт терминального сервера на внутреннюю машину, которая и будет выполнять футкцию терминал-сервера.

[Zim]

Да в принципе так, но еще есть задача - к одному из сервера нужно будет подсоединяться терминально, чтобы работать удаленно, как это сделать?

Для реализации вашей задачи необходимо настроить iptables на маршрутизацию и поднять DNAT
Точно не знаю на каком порте у вас будет висеть  терминальный сервер, а поэтому расскажу на примере веб сервера, но от этого поменяется только порт и IP во внутренней сети.

В моем случае шлюз это сервер на котором стоит 2 сетевые карточки:
eth0 - WAN интерфейс смотрящий в Инет IP 88.88.88.88
eth1 - LAN интерфейс смотрящий в локалку 192.168.1.1
Веб сервер поднят на 80 порте машины с IP 192.168.1.2 в локалке

Сначала нужно включить маршрутизацию в ядре

Код: [Выделить]

sysctl -w net.ipv4.ip_forward=1С дистрибутивами Alt Server 4.0 и Alt Server Office 4.0 в этом месте у меня возникли проблемы, то есть маршрутизацию я включил но на самом деле она не работала (надеюсь в других версиях все работает нормально и это не баг всех Alt дистрибутивов)

Затем настраиваем iptables

Код: [Выделить]

#Удаляем все цепочки
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X

#Политика по умолчанию
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

#Разрешаем маршрутизацию между интерфейсами WAN и LAN
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

#Ну и собственно DNAT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.1.2:80

Успехов в настройке  :)

[csander]

А без удаления цепочек нельзя? :)

[Mikhail]

А без удаления цепочек нельзя? :)

Можно. Нужные правила просто дописываются в уже имеющиеся общие правила.
Если решать задачу в лоб, то iptables вообще тут не нужен, если все правила по умолчанию разрешены.
В противном случае нужно прописывать разрешения на форвардинг нужных пакетов.
Приведенный выше пример вообще для вашего случая не подходит.

Есть два более правильных решения.
Первое, это создание DMZ. Долго и нудно читаешь гугль зачем это нужно. С помощью иптаблеса отсекаешь все не нужные соединения.
Второе, это присвоение внутренним серверам серого ипа, а средствами iptables пробрасывать данные приходящие на белые ипы, на соответствующие серые.

И не очень понятна фраза про ипы. Можно увидит последнюю цифру и маску выделенных ипов?

[Mikhail]

Сначала нужно включить маршрутизацию в ядре

Код: [Выделить]

sysctl -w net.ipv4.ip_forward=1С дистрибутивами Alt Server 4.0 и Alt Server Office 4.0 в этом месте у меня возникли проблемы, то есть маршрутизацию я включил но на самом деле она не работала (надеюсь в других версиях все работает нормально и это не баг всех Alt дистрибутивов)

АльтСервер 4.0 с данным параметром проблем нет. У меня нормально работало. А проблема похоже в понимании смысла этого параметра, т.к. Маршрутизация и форвардинг, это не много разные вещи, и в ключение второго ни как не влияет на первое.

[Zim]

Второе, это присвоение внутренним серверам серого ипа, а средствами iptables пробрасывать данные приходящие на белые ипы, на соответствующие серые.

Хм.. А DNAT вроди и делает именно перенаправление входящих пакетов из вне на сервые сервера находящиеся за ним. В моем случае входящие пакеты которые попадают на 80 порт шлюза перенаправляются на 80 порт сервера в лок сети

[Mikhail]

Хм.. А DNAT вроди и делает именно перенаправление входящих пакетов из вне на сервые сервера находящиеся за ним. В моем случае входящие пакеты которые попадают на 80 порт шлюза перенаправляются на 80 порт сервера в лок сети

Внимательное чтение и осмысление заданного вопроса, позволяет дать правильный ответ, именно на заданный вопрос.
В исходном просят переправить пакеты приходящие на реальный белый ип, который отличается от ипа гейта, ты же отвечаешь, как переправить пакеты приходящие на порт гейта.

[csander]

И не очень понятна фраза про ипы. Можно увидит последнюю цифру и маску выделенных ипов?

222.222.222.234 ip
255.255.255.248 mask

[Mikhail]

222.222.222.234 ip
255.255.255.248 mask

Вот с этого и нужно было начинать.

Провайдер предоставляет основной выделенный IP + еще 4.

Провайдер выделил на тебя сеть из 8 ипов. 2 служебных, 1 на своей стороне и 5 на твоей.
Самое простое решение, особенно, если у тебя сервера и рабочие станции в сети, это выделить статичные серые ипы серверам, динамические/статичные серые ипы рабочим станциям, и на гейте поднять соответствие белых ипов с серыми. Причем лучше сделать это в обоих направлениях, но в направление из локалки в инет, только для FTP сервера делать это обязательно.
Подняв собственный DNS и обзаведясь собственным доменом ты сможешь и из локалки и из инета обращаться по именам к своим внутренним серверам. Плюсом поднятия собственного DSN с собственным доменом, будет то, что при запросе из инета, имя сервера будет ресовлвится в белый ип, а при запросе из локалки, в серый, и не будет нагружаться канал на сервер при обращении из локалки на внутренние серверы.