siradlib
-
Gesamte Inhalte
3 -
Benutzer seit
-
Letzter Besuch
Inhaltstyp
Profile
Forum
Downloads
Kalender
Blogs
Shop
Beiträge von siradlib
-
-
Soweit hatte ich die Funktionsweise von NAT bisher auch verstanden: Die IP-Adressen im inneren Netz werden durch die IP-Adresse des externen Interfaces des NAT-Routers und eines Ports (> 1024) ersetzt.
Passiert nicht auf dem umgekehrten Weg (also von außen übers NAT nach innen) das Umgekehrte, d.h. die (externe) IP des NAT-Routers wird (mit Hilfe der Portnummer) auf der "inneren" Seite wieder in die ursprüngliche IP zurückgewandelt?
Soweit sollte das ja alles kein Problem sein- das Problem tritt dann auf, wenn ein Gerät "außen" von sich aus einen Host hinter dem NAT kontaktieren möchte.
Insofern vermute ich hier das Problem. Vermute ich richtig? Und wenn ja, was kann ich tun?
Brauche ich vielleicht eine völlig andere Konstruktion?
-
Hallo,
zunächst: Ich bin ziemlicher Anfänger, was iptables angeht, also
lacht mich bitte nicht aus. ;-)
ich habe zwei interne Netze konfiguriert- zwischen diesen Netzen
macht ein Linux-Router (Debian) Masquerading:
"innen" "außen" 192.168.3.1-eth1 --> NAT --> 192.168.0.50-eth0 --> Restnetz
In diesem "äußeren Netz"/Restnetz (hinter eth0) sitzt z.B. auch ein Internetrouter. Das klappt soweit ganz gut, ich kann vom Netz 192.168.3.x aus ins Internet. Jetzt habe ich im Netz 192.168.0.0 in paar Drucker, auf die ich aus dem 192.168.3.0-Netz gerne über IPP (oder SMB) zugreifen möchte. Leider klappt z.B. schon ein simples "ping 192.168.0.48" nicht (wobei 192.168.0.48 so ein Drucker ist). Auch habe ich im internen Netz 192.168.3.0 einen Drucker, auf das ich gerne aus dem Netz 192.168.0.0 zugreifen möchte. (Falls es einfacher ist, kann ich den Drucker aus dem Netz 192.168.3.0 nach 192.168.0.0 umlegen.) Hat jemand eine Ahnung warum und gibt mir Tipps? Was mache ich falsch? Geht das so überhaupt? Sinn der ganzen Übung ist es, DHCP-Antworten aus dem äußeren Netz (192.168.0.x) nicht ins innere (192.168.3.x) kommen zu lassen- für das innere Netz soll nämlich ein eigener DHCP-Server verwendet werden und Geräte des Netzes 192.168.3.0 sollen keine Antworten von einem DHCP-Server im Netz 192.168.0.0 bekommen. Mein kleines iptables-Skript:# !/bin/sh iptables --flush iptables -t nat --flush iptables --delete-chain iptables -t nat --delete-chain # enable masquerading iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE iptables -A FORWARD -i eth0 -j ACCEPT # block dhcp offers from the outside iptables -A INPUT -i eth0 -p udp --dport 67:68 --sport 67:68 -j DROP # FTP through NAT modprobe ip_conntrack_ftp iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
Interfaces:eth0 Link encap:Ethernet HWaddr 00:0C:29:EC:81:2D inet addr:192.168.0.50 Bcast:192.168.0.255 Mask:255.255.255.0 inet6 addr: fe80::20c:29ff:feec:812d/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:366904 errors:0 dropped:0 overruns:0 frame:0 TX packets:183703 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:340159697 (324.4 MiB) TX bytes:40015784 (38.1 MiB) Interrupt:169 Base address:0x1400 eth1 Link encap:Ethernet HWaddr 00:0C:29:EC:81:37 inet addr:192.168.3.1 Bcast:192.168.3.255 Mask:255.255.255.0 inet6 addr: fe80::20c:29ff:feec:8137/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:92336 errors:0 dropped:0 overruns:0 frame:0 TX packets:245388 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:14241616 (13.5 MiB) TX bytes:309458987 (295.1 MiB) Interrupt:177 Base address:0x1480 eth1:1 Link encap:Ethernet HWaddr 00:0C:29:EC:81:37 inet addr:192.168.2.1 Bcast:192.168.2.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 Interrupt:177 Base address:0x1480 eth1:2 Link encap:Ethernet HWaddr 00:0C:29:EC:81:37 inet addr:192.168.0.55 Bcast:192.168.0.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 Interrupt:177 Base address:0x1480 lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 inet6 addr: ::1/128 Scope:Host UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:62 errors:0 dropped:0 overruns:0 frame:0 TX packets:62 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:5803 (5.6 KiB) TX bytes:5803 (5.6 KiB)
Route:Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface bizhubc450.acad 192.168.0.55 255.255.255.255 UGH 0 0 0 eth1 192.168.3.0 * 255.255.255.0 U 0 0 0 eth1 192.168.2.0 * 255.255.255.0 U 0 0 0 eth1 192.168.0.0 * 255.255.255.0 U 0 0 0 eth0 192.168.0.0 * 255.255.255.0 U 0 0 0 eth1 default 192.168.0.9 0.0.0.0 UG 0 0 0 eth0
2 Netze per NAT trennen- Routing-Problem!
in Linux
Geschrieben · Bearbeitet von siradlib
zusätzliche Frage ergänzt
dr. disk, Danke für Deine Antwort- Du hast natürlich recht! :old
Da NAT jetzt aber zu laufen scheint und weiter keine Probleme macht, buche ich es mal unter "Zusatznutzen".
Mein Problem der nicht erreichbaren Hosts (vom Netz 192.168.3.0 ins Netz 192.168.0.0) habe ich ganz einfach durch eine zusätzliche Netzwerkkarte gelöst (unter VMWare Server einfach "dazugeklickt"). Jetzt scheint es zu funktionieren.
Wenn jetzt der DHCP-Server nach dem Einschalten im Netz 192.168.0.0 wirklich nicht stört, bin ich glücklich.
Ich habe jetzt folgende Karten im Router:
eth0: Netz 192.168.0.0, Leitung zum Gateway (inkl. "störendem" DHCP-Server)
eth1: Netz 192.168.3.0 und 192.168.168.2.0, interne Netze
eth2: Netz 192.168.0.0, interne Drucker im Netz 192.168.0.0
eth1 und eth2 sitzen auf derselben physikalischen Karte, eth0 ist die Verbindung zum Gateway.
Routing: