Правильная настройка iptables
 

Уважаемые, приветствую!

Что-то не могу осилить настройку iptables для следующей задачи :sorry:

Задача состоит в том, что бы переложить раздачу IP на eth2 самим сервером, а не роутером, т.к. на роутере DHCP отсутствует, и что бы клиенты 192.168.1.х выходили в сеть под Своим IP.

Дано:
- 3 сетевых;
- DHCP, SAMBA-DC с внутренним DNS на сервере;
- eth0: IP сетевой - 192.168.1.2, к сетевой подключён роутер с IP 192.168.1.1 и обеспечивает выход в сеть Интернет;
- eth1: IP сетевой - 192.168.10.1, маскарадинг для клиентов с выходом в сеть Интернет и на сетевой работает DHCP ;
- eth2: IP сетевой - 192.168.1.3, здесь предполагается раздача адресов для клиентов с помощью DHCP сервера из 192.168.1.х сети;

Сейчас имеется доступ к сети Интернет у клиентов 192.168.10.х, т.к. настроен маскарадинг на сервере.

У клиентов 192.168.1.х никакого доступа сейчас нет :o , но IP от DHCP получают исправно.

В данный момент правила такие-простые:

А вам точно нужен двойной NAT? Ну всмысле, сегментировать сеть, хотя роутер, как я понял, у вас один.

Количество IP в сети 192.168.1.х ограничено, поэтому часть клиентов прячем за NAT (это 192.168.10.х), а часть оставляем с адресами сети роутера (это 192.168.1.х).

NickM, а как вы определите, кому какой адрес положен? ;)

Кем ограничено? Что мешает расширить сеть до /23 (192.168.0.0 - 192.168.1.255)? Или даже /22 (192.168.0.0 - 192.168.3.255)?

Cereal Keeler, угу, можно и до /16 расширить, но у ТС непонятное ТЗ, непонятно, по какому принципу произведено деление на сегменты, и зачем такое деление нужно.
eth0 соединить с рутером (неважно, какой адрес присвоить), вторую карту подключить к коммутатору и назначить, например, 192,168,0,1/16, пусть клиенты получают адреса по DHCP. Можно настроить привязку к МАС-адресам для "особо важных клиентов", и настроить им особые параметры доступа в интернет, если надо. Третья карта, как мне кажется, вообще лишняя.

Здесь не понял, что именно определить? Или Вы про DHСP? Если про него, то DHCP работает на той или иной сетевой и он "понимает" на какой сетевой какой раздавать диапазон (с DHCP проблем нет, он настроен и работает, проблема с маршрутами, думаю тут нужно SNAT/ DNAT смотреть и FORWARD);

Провайдером ))
Просто для простоты понимания, написал сочетание слов "на роутере DHCP отсутствует" и указал простую локальную адресацию "192.168.1.х ";

А, что не понятно? Могу уточнить.

Провайдер выдал ограниченное количество IP и требует выход каждого АРМ под IP из выданного диапазона. При этом на устройстве провайдера (роутере) отсутствует DHCP.

Самое простое - это всех спрятать за NAT на сервере, и это уже сделано и сейчас работает (это клиенты сети 192.168.10.х), но нужно, что бы часть АРМ получала IP из диапазона провайдера и выходила под этими адресами в сеть Интернет.

именно требует? Если все клиенты будут использовать один адрес - это нарушение? Если нет, то

Смертью конечно не карается, но нужно сделать именно так, как написано выше :read:

почитал вчера документацию по pf, вроде что-то видел, но не то. Может, сделать так:

• основная сеть 192,168,1,0/24 - рутер и eth0
• сеть с NAT 1 - 10.10.10.0/24 - eth1
• сеть с NAT 2 - 10.10.20.0/24 - eth2

При этом все клиенты будут получать адрес из нужного диапазона, точнее, два адреса типа 192.168.1.4 и 192.168.1.5. Так прокатит?

как это, каждый клиент по 2 ипа? А по какому он будет отвечать?

bredych, нет, из первой подсети все клиенты будут получать адрес для ната 192.168.1.4, из второй- соотв, 192.168.1.5. Т. е один адрес для натирования всех в первой подсети, второй - для второй. Бред, конечно, но уж что есть :jester:

наверно я жутко туплю, но..
интерфейс физически у каждого клиента ведь один - сетевушка встроенная. И кабель тот же самый, в неё вставленный.
А как на одном физическом повесить 2 виртуальных с разными ипами, и чтоб еще комп знал, кому что отвечать.. Ну, допустим, на каждом еще править роутинговую таблицу.. хоть тогда зачем вообще dhcp..
что-то туплю я.. можно как в школе логику пояснить? Для системности понимания

bredych, на "сервере" 3 (три!) сетевых, каждая со своим диапазоном адресов (непересекающихся)

1. рутер и его подсеть 192,168,1,0/24
2. сеть клиентов №1 (НАТится вся сеть в один адрес 192,168,1,100 например)
3. сеть клиентов №2 (НАТится вся сеть в один адрес 192,168,1,200 например)

Как-то так...

но клиенты из сети 2 и сети 3 - это НЕ одни и те же физические машины? Они висят на разных физически кабелях и т.д.?
или я туплю опять?

вроде как. Но лучше уточнить у NickM, мало ли.

Нет, это разные сети и клиенты:
Это разные сети= разные физические машины;

NAT не нужен, т.к.:
Сейчас сижу думаю, что iptables вообще может оказаться здесь лишним, и возможно, следует обойтись созданием постоянного маршрута.

Да, вопрос пока открытый, задачу так и не решил.

NickM, я не понял чего вы вообще добиваетесь. Из вашего описания

следует, что задача уже и так выполнена

Потому что про доступ в Интернет вы упоминаете только в 192.168.10.х, а в 192.168.1.х его выходит и не должно быть. Иначе почему это требование упоминается только в 1 подсети? Сформулируйте задачу полностью и может быть выяснится, что вам вообще не нужны 2 подсети. Ну или обоснуйте необходимость этого. Я пока не понимаею чего вам нужно, может это вообще типичная XY

Что именно не понятно?

Раздать IP и предоставить выход в сеть Интернет, NAT не использовать.

Раз третья сетевая и NAT вносят сумятицу, давайте избавимся от них:
Дано:
- 2 сетевых;
- DHCP, SAMBA-DC с внутренним DNS на сервере;
- eth0: IP сетевой - 192.168.1.2, к сетевой подключён роутер с IP 192.168.1.1 и обеспечивает выход в сеть Интернет;
- eth2: IP сетевой - 192.168.1.3, здесь предполагается раздача адресов для клиентов с помощью DHCP сервера из 192.168.1.х сети;

Задача состоит в том, что бы переложить раздачу IP на eth2 самим сервером, а не роутером, т.к. на роутере DHCP отсутствует, и чтобы клиенты 192.168.1.х выходили в сеть Интернет под своим IP.

Перепробовав кучу настроек, Я уже запутался, вопросы:
- какой IP будет шлюзом для клиентов 192.168.1.х сети;
- просматривая с помощью tcpdump те или иные интерфейсы на сервере, Я, например, вижу, что диагностические пакеты приходят, но ответов клиент не получает.

Легкая с виду задача сломала мозг. Понятно, что знаний в теме абсолютно не хватает, точнее их ноль.

В данный момент правила такие:

В смысле под своим IP? Чтоб их адреса в глобальной сети были 192.168.1.х? Это невозможно. Вообще.

И как вы это себе представляете? У вас есть сервер, у него есть внешний адрес и внутренняя подсеть. Чтоб раздать доступ внутренним клиентам - нужен NAT. А как иначе?

В том смысле, что они получили IP из 192.168.1.х сети и с этими адресами дошли до роутера, а не спрятались за внешний IP сервера (т.е. IP сервером не меняется и клиентов сервер за себя не прячет, как того делает правило POSTROUTING -o eth0 -j MASQUERADE);

Не нужна внутренняя подсеть, ничего за сервер прятать не надо, клиенты должны ходить к шлюзу-роутеру с IP 192.168.1.1 под своими адресами из сети 192.168.1.х.

Представляю ровно так как и написал в начальном посте: сервер раздаёт адреса и перенаправляет через Себя трафик клиентов 192.168.1.х подсети до роутера 192.168.1.1, при этом никаких подмен адресов не производит.

Да, и разве NAT будет работать в пределах одной подсети?

Сейчас вспомнил, что отписывался в этой теме, вот как раз описываемую задачу и пробую реализовать, но пока в пределах доступного оборудования - простого роутера с адресом 192.168.1.1.

NickM, может вам мост нужен? Между двумя (или тремя) сетевухами.

В пределах одной - нет, это бессмыслица. Но у вас фигурируют адреса 192.168.1.x и 192.168.10.x - отсюда и мысли про NAT

Тоже думал об этом, и даже пробовал. Но, в таком случае не получается раздавать адреса по DHCP сервером, ведь обе сетевые (eth0 и eth2) объединены в мост br0, а адреса требуется выдавать на eth2;

В первом вопросе об этом и было сказано - NAT был только для одной сетевой, после задачу упростил.

А это проблема? К eth0 подключен только роутер же? У него, как я понимаю, статический адрес. Он просто не будет использовать DHCP, главно чтоб адрес был из нужной подсети. Например, у меня на компе тоже статический адрес, но в роутере DHCP поднят. Мой адрес 192.168.88.10, а DHCP раздаёт начиная с 192.168.88.100 и конфликтов нет. Так и вы можете DHCP настроить начиная например с 192.168.1.10, а у роутера пусть будет 192.168.1.1

так, стоп....
NickM, сколько у вас всего компов? 1-250, 251-510, больше?

Т.е. раздавать адреса в мост, а не в сетевую?

~100

Если 100, то да, можно настроить DHCP для выдачи адресов из двух пулов, для каждого интерфейса свой пул.

Честно говоря, я никогда не пробовал раздавать в сетевуху, когда есть мост. Получится так или нет - не знаю. Хоть попробовать стоит. Но если даже не получится, то неужели это проблема раздавать адреса на весь мост?

Раздавать в сетевую моста не получится, т.к. DHCP должен считать настройки сетевой, а у сетевых в мосту настройки отсутствуют;

Тут не знаю, в мост не раздавал, но да, попробовать можно/ нужно.