Routing fra LAN til WAN

Bør være muligt.
Jeg er ikke stiv i linux, men jeg har siddet men en firewall baseret på linux.
Det er NAT indstillingerne du skal have fat i. Du skal mappen din LAN IP til den specifikke eksterne IP.

Spørgsmålet lød om man kan, og svaret er: Ja :)

Svaret er helt klart ja.

Som jeg forstår det vil du gerne have at 192.168.1.10 på WAN siden hedder XXX.XXX.XXX.XXX. Det jo bare en NAT statement?

Jeg kender ikke syntax'en på en linux box, men det kan du vel selv når du har lavet NAT (PAT) med de andre adresser?

Eller forstår jeg dig forkert?

Burde det her ikke kunne gøre det?

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --src 192.168.x.x --to 80.160.160.160

Azzer : Problemet er, at jeg bruger gShield ovenpå iptables som et hjælpeprofukt, da jeg ikke forstår iptables særligt godt. NAT'ing fra WAN til LAN kan man med gShield men man kan ikke LAN til WAN (tror jeg ikke), derfor skal jeg nok ned og rode i iptables manuelt.

olly : Jeg prøver dit eksempel lige så snart jeg kommer hjem, men du mener at :
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --src 192.168.x.x --to 80.160.160.161 feks kan bruges ? Så når jeg bruger mine andre LAN maskiner kommer de ud på WAN med min alm. IP, og når jeg bruger din metode, kan jeg feks få 192.168.1.10 til at gå på WAN med en af mine andre WAN ip'er eks. 80.160.160.161 :-)

det er korrekt hvad olly skriver. Dog skal du være opmærksom på at hvis dit nuværende script Masquareder dine ipadresser så kan det være det ikke virker.

løsningn er at fjerne masq og indsætte linierne som olly skriver

Mvh Dank ~~ www.iptables.linux.dk

Ja det vil jeg faktisk mene...

Har ikke selv lige testet den...

Det kan også anbefales at bruge www.iptables.linux.dk som dank henviser til.. Det er et værktøj jeg ikke før har set... Ser godt ud.

olly > Lyder godt du synes om iptables.linux.dk ---> ikke helt færdigt endnu, men kan i mange tilfælde sagtens bruges som "skabalon" til de typiske "simple" setups af denne type...

Dog mangler der lige en lo ACCEPT, så schaarup hvis du benytter iptables.linux.dk, så smid lige denne ind i Input:

iptables -A INPUT -i lo -j ACCEPT

(ovenstående skulle bare have været en kommentar - jeg skal ikke have point, da det er olly som har svaret - sorry)

Jeg synes nu godt du kan give dank lidt point hvis du selv synes for han kommer med en god henvisning.

Hejsa ...

Skal iptables restartes eller noget ? For det virker ikke umidelbart :)

ETH0 = WAN interface
ETH1 = LAN interface

(Ved ikke om det har betydning)

;-)

Det jeg lige prøvede var :

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --src 192.168.1.24 --to 80.162.x.134

Og prøvede så fra den maskine der på mit LAN har 192.168.1.24 at gå ind på www.myip.dk, men den viste bare min STd ip 80.162.x.130 ...

Vil tro iptables skal genstartes... Jeg er ikke selv firewall mand.

Men måske som dank skriver:

"løsningn er at fjerne masq og indsætte linierne som olly skriver"

Hehe ... Hvad har det af konsekvenser at jeg fjerner masq og hvordan gør jeg det ? :-)
Håber ikke jeg er for besværlig :>

Nej ikke besværlig...

Du kan prøve at smide scriptet herind... Så skal jeg se om jeg ikke fatter det!

# enable Masquerade and forwarding
iptables -t nat -A POSTROUTING -s $LAN_IP_NET -j MASQUERADE

Se efter sådan en linie... Er ikke sikker på om det er hele linien eller kun

"-j MASQUERADE"

Når jeg laver en iptables -L kan jeg ikke umidelbart nogensteder se at der er noget der nærmer sig MASQUERADE ... En anden ting .. Den linie i har vist mig at jeg skulle skrive, burde den ikke optræde her :

Chain OUTPUT (policy ACCEPT)
target    prot opt source              destination
loopback  all  --  anywhere            anywhere
DROP      icmp --  anywhere            anywhere          state INVALID
BLOCK_OUT  tcp  --  anywhere            anywhere          tcp dpt:netbios-ns
BLOCK_OUT  udp  --  anywhere            anywhere          udp dpt:netbios-ns
BLOCK_OUT  tcp  --  anywhere            anywhere          tcp dpt:netbios-dgm
BLOCK_OUT  udp  --  anywhere            anywhere          udp dpt:netbios-dgm
BLOCK_OUT  tcp  --  anywhere            anywhere          tcp dpt:netbios-ssn
BLOCK_OUT  udp  --  anywhere            anywhere          udp dpt:netbios-ssn

Hvorfor burden den det? Jeg er ikke iptables mand...

Fordi den linie jeg tastede ind skulle adde en route til OUTPUT kæden (-o) troeede den så skulle kunne ses når jeg listede OutPut kæden som på ovenstående post :)

Tror jeg vrøvler lidt ... Jeg fatter hat af Iptables hvis ikke det er gået op for Jer :)

Bare sjovt jeg ikke kan se den NAT'ing nogensteder i tabellen ...

Men har du tilføjet det til dit script evt?

Næhh, der kan man ikke indsætte en direkte iptables command, det script jeg bruger oven på iptables er gShield du kan se details på www.freshmeat.net søg på gShield ...

Den har jeg kigget på... Men jeg bruger selv en HW router så kan ikke teste det selv...

Men tror problemmet er du bruger gShield og så forsøger at lave noget bagefter... Bare for sjovs skyld så prøv at lav et script med:

www.iptables.linux.dk

og husk så:

"Dog mangler der lige en lo ACCEPT, så schaarup hvis du benytter iptables.linux.dk, så smid lige denne ind i Input:

iptables -A INPUT -i lo -j ACCEPT"

Problemet er at jeg har pænt mange forwardings, blockings osv. sat op via gShields, må indrømme at jeg ikke orker p.t. at udarbejde et helt iptables "script" der passer til min nuværende konfiguration, dels pga. mit manglende kundskab til iptables, dels pga. tiden ...

Jeg fik ikke mit oprindelige problem løst m.h.t. routing fra LAN til WAN, men
i har fået jeres point nu ...

Takker for den hjælp jeg har fået indtil videre .......

Prøv at lede i dit script efter en linie a'la denne:

iptables -t nat -A POSTROUTING -s $LAN_IP_NET -j MASQUERADE

Eller noget i den retning.

Alternativ kan du prøve at køre

# iptables -t nat -L

Og poste output her

Jeg må da sige jeg ikke kan være utilfreds med det antal point jeg fik...

Nå... Men gør som dank siger... Jeg vil gerne hjælpe også hvis jeg kan.