NAT a verejna IP

[chinook]

Mam vice verejnych IP. Pouzivam NAT. Rozhrani eth1 ma IP 81.27.200.x tim jsem pripojen na internet. Ostatni verejne maji IP 89.102.30.x. Na rozhrani eth0 mam prirazene IP 192.168.1.1 a 89.102.30.1 ale na internetu jsem videt furt IP 81.27.200.x. Jak mam pomoci iptables presmerovat tu verejnou IP adresu z ostatnich PC ktere jsou pripojene pres ETH0 na ETH1?

[chinook]

Vypada ze to je vyreseno. Nevim jestli to mam tak jak to ma byt ale funguje mi to.
Vypl jsem masquerade. a nastavil snat
iptables -t nat -A POSTROUTING -o -s 192.168.1.0/24 eth1 -j SNAT --to 81.27.200.x
na eth0 jsem pridal ip 89.102.30.2 a to stejne mam na pc s IP 89.102.30.x jak gateway. Moc nechapu k cemu ta gateway je. Pokud se to dela nejak jinak dejte mi vedet prosim

[chinook]

problem c.2. Jak nastavit aby mi dhcp server nastavoval ty verejne IP pokud eth0 ma IP 192.168.1.1 a eth0:1 89.102.30.2?

subnet 89.102.30.0 netmask 255.255.255.0 {
option subnet-mask 255.255.255.0;
option routers 192.168.1.1;
range 89.102.30.20 89.102.30.100;

}

mam to takhle a to nefunguje

[Marty]

Protoze pridelujes router z uplne jinyho rozsahu (masky) nez mas adresy klientu...

Musis dat klientum adresu routeru takovou, jaka spada do jejich podsite. tj. ve tvem pripade 89.102.30.1 jestli jsem to dobre pochopil.

[chinook]

mam jiz i zmenenou default gateway a stale s tim laboruji a nic. Jedine co se mi podari priradit je ip 192.168.1.x. Ip co jsout eht0:1 atd. se mi nedari prirazovat. A tu vnitrni IP mi to priradi at dam jakoukoli GW.

[KUBA]

A proč strkáš ty veřejné adresy do privátní sítě? Nech tam NAT, dej všechny veřejné IP na rozhraní eth1 (internet) a vnitřní síť nech na 192.168.1.0/24. Pak si ty veřejné IP forwardni do své sítě na příslušné privátní IP.

Kód:

-A PREROUTING -d 1.2.3.4 -j DNAT --to-destination 192.168.1.8
-A POSTROUTING -s 192.168.1.8 -j SNAT --to-source 1.2.3.4

[chinook]

A jak by to slo udelat abych mel na pc co je za routerem tu verejnou IP adresu?

[HAVTOM]

Obvykle to je tak, ze mas jednu IP, kterou jdes na internet a pak blok verejnejch, ktery chces mit na jednotlivejch strojich. WAN port routeru musi mit IP tu jednu co je solo a LAN port musi mit IP z toho bloku co mas pro jednotlivy stroje. NAT musi bejt vypnutej.
Jses si jist, ze mas celej C rozsah (255) verejnejch IP? Nemas jen subnet?

[chinook]

aha tak diky za vysvetleni v tom pripade se me to netyka ja mam jen 4 IP. Chtel jsem se dat vic verejnych na vic komplu. Budu na dale pouzivat nat tudiz mi staci jedna IP.
Muze poskytovatel nejak poznat kolik je pripojenejch PC v siti kdyz jsou za natem?

[HAVTOM]

Jo, muze to poznat, ale vetsinou na to boda.
Jinak 4 IP jsou dost blbe vyuzitelny, jelikoz prvni mas adresu site, posledni broadcast a zbydou jen 2 a z toho by jednu mel mit router na LAN rozhrani
V praxi z toho jde nekdy vymackknout vic, ale ne vzdy.

[chinook]

Na ty verejne IP uz kaslu. Budu dale mapovat porty, takze me staci jedna. Myslel jsem ze to bude jednodussi.
Jeste k tomu poznani NATu Jak to poskytovatel pozna? Myslel jsem ze router prepise IP adresu a poskytovatel nic nepozna. Je slozite to urcit? A jde nejak nasdilet internet a zabranit tomu aby to poskytovatel poznal?

[Jezevec]

Chjo, kdybys trochu hledal, je to tu vysvetleny urcite aspon 5x.

Udelas to nasledovne:

Ethx (inet) 81.27.200.x/A.
Ethy (LAN) 89.102.30.1/B, 192.168.1.1/C (bude mit tyhle dve IP)

/A ... to znas od providera
/B ... zalezi na tom kolik tech IP mas, pokryje presne a jen ty IP.
Napr pokud bys mel IP 89.102.30.0 - .7, tak to bude /29, prvni a posledni IP bys nemel pouzivat (v tomle pripade 0 a 7) takze mas 6 adres, jedna padne na router, takze 5.

/C ... celkem jedno, vetsinou /24, samo musi mit vsechny kompy na privatnim rozsahu stejne

Jakmile tohle nastavis, bude se ti normalne routovat (maximalne je treba routovanui povolit) na ty verejny IP dovnitr (!! na privatni taky !!). Pak muzes natavit NAT z 81.27.200.x. Nezapomen zakazat forward z inetu na ten privatni rozsah (das na forward DROP, a povolis jen provoz na ty tvy verejny IP + established, related).

[KUBA]

Nejsem si jistý, do světa velkých ISP jsem zatím nenahlédl, ale nepouštíš se tímto do routování IPček, které nejsou tvoje? Nenarušíš tím routing-policy providera?

[Jezevec]

Predpokladam, ze ty verejny IP ma prideleny od svyho ISP. Ja mam taky puvodne jednu verejnou IP a na zadost sem dostal dalsich 8, ktery sou proste u ISP routovany na tu puvodni jednu a jak si to zaridim dal, tak to mam.
Vetsina ISP to resi podobne, maj trebas blok IP ktery pridelujou "primarne" a pokud nekdo chce dalsi IP, tak mu je svazou s tou primarni a pridelej mu blok podle potreby.

Jedinej problem tohodle kouskovani je v tom, ze se strasne plejtva adresama (a pak ze jich je nedostatek), trebas WiFi ISP casto pridelujou nejmensi moznej subnet (/30), takze na kazdyho klienta vyplacnou 4IP a realne pouzitelna je z toho jedna. Takze z Ckovyho bloku 256 adres zbude 64 pouzitelnejch. Trochu smutny.

[sasha]

Jo, muze to poznat, ale vetsinou na to boda.
Jinak 4 IP jsou dost blbe vyuzitelny, jelikoz prvni mas adresu site, posledni broadcast a zbydou jen 2 a z toho by jednu mel mit router na LAN rozhrani
V praxi z toho jde nekdy vymackknout vic, ale ne vzdy.

pokud mas dobre nastaveny nat a antispoofing nepujde zjistit kolik je ip address za natem....
jinak chces-li pouzivat vsechny ctyri ip tak pouzijes STATIC NAT, vetsinou se pouziva chces-li z venku kontaktovat primo pc na intranetu, neni potom potreba zadny port mapping