Проброс айпи адресов и портов в opensuse (Проброс айпи адресов и портов)

[Gaevuha]

Привет всем Если уже есть похожая тема извините или тыкните носом. нету времени искать, сроки поджимают. Собственно проблема вот в чем. Мне на локальных компьютерах ПК1, ПК2, ПК3 нужно поменять шлюз на 20.35.222.1 Но также нужно чтоб с них можно было выходить в интернет. На данный момент с настройками как на схеме все работает. На линуксовском серваке настроен маскарадинг в iptables. Подскажите кто-нибудь, возможно ли настроить как то проброс айпи адресов и портов посредством iptables чтоб локальные ПК могли ходить в интернет, если у них в настройках будет указан шлюз 20.35.222.1 Подскажите плиз если это возможно, бьюсь уже две недели. Пожалуйста в предложениях прописать правила укажите те айпишники которые в моей схеме. Очень и очень буду благодарен. Вот ссылка на схему тыц

[Bizdelnick]

Мне на локальных компьютерах ПК1, ПК2, ПК3 нужно поменять шлюз на 20.35.222.1 Но также нужно чтоб с них можно было выходить в интернет.

Я правильно понимаю, что Вы хотите изменить шлюз по умолчанию, но при этом в Интернет ходить не через него? Весьма странное желание.
Выложите, пожалуйста, полноразмерную схему в нормальном (отображаемом браузером) формате.

[Gaevuha]

Мне на локальных компьютерах ПК1, ПК2, ПК3 нужно поменять шлюз на 20.35.222.1 Но также нужно чтоб с них можно было выходить в интернет.

Я правильно понимаю, что Вы хотите изменить шлюз по умолчанию, но при этом в Интернет ходить не через него? Весьма странное желание.
Выложите, пожалуйста, полноразмерную схему в нормальном (отображаемом браузером) формате.

Извините, вот схема

[Gaevuha]

Мне на локальных компьютерах ПК1, ПК2, ПК3 нужно поменять шлюз на 20.35.222.1 Но также нужно чтоб с них можно было выходить в интернет.

Я правильно понимаю, что Вы хотите изменить шлюз по умолчанию, но при этом в Интернет ходить не через него? Весьма странное желание.
Выложите, пожалуйста, полноразмерную схему в нормальном (отображаемом браузером) формате.

Извините, вот схема

Или может оставить на ПК1-3 шлюз который сейчас стоит 20.35.222.27 они через него в инет ходят, а прописать как то маршрут чтоб они могли в ВПН сеть ходить через модем 20.35.222.1 и также из ВПН сети ПК чтоб могли заходить на них. Как это сделать?

[Bizdelnick]

Или может оставить на ПК1-3 шлюз который сейчас стоит 20.35.222.27 они через него в инет ходят, а прописать как то маршрут чтоб они могли в ВПН сеть ходить через модем 20.35.222.1 и также из ВПН сети ПК чтоб могли заходить на них. Как это сделать?

Да, именно так и надо сделать. К сожалению, не могу сказать, где в SUSE принято прописывать настройки маршрутов, но для проверки их можно назначить с помощью команды sudo ip route add адрес_сети/маска via адрес_хоста (настройка не переживёт перезагрузки).

[NickLion]

Или может оставить на ПК1-3 шлюз который сейчас стоит 20.35.222.27 они через него в инет ходят, а прописать как то маршрут чтоб они могли в ВПН сеть ходить через модем 20.35.222.1 и также из ВПН сети ПК чтоб могли заходить на них. Как это сделать?

Делал шлюз по вот этой теме: Статья по базовой настройке SuSEfirewall2
По ходу какие-то мелкие правки делал, но в целом хватило той информации. Правда это было ещё на 10-й версии, но, думаю, там не особо что-то поменялось.

[Gaevuha]

Или может оставить на ПК1-3 шлюз который сейчас стоит 20.35.222.27 они через него в инет ходят, а прописать как то маршрут чтоб они могли в ВПН сеть ходить через модем 20.35.222.1 и также из ВПН сети ПК чтоб могли заходить на них. Как это сделать?

Да, именно так и надо сделать. К сожалению, не могу сказать, где в SUSE принято прописывать настройки маршрутов, но для проверки их можно назначить с помощью команды sudo ip route add адрес_сети/маска via адрес_хоста (настройка не переживёт перезагрузки).

Прописывать нужно в айпитабле, Только не знаю что именно прописать.

[Bizdelnick]

Прописывать нужно в айпитабле

Нет. iptables к таблице маршрутизации отношения не имеет. К пробросу портов, о котором Вы писали в названии темы, имеет, но он к данной задаче не относится.

[Gaevuha]

Прописывать нужно в айпитабле

Нет. iptables к таблице маршрутизации отношения не имеет. К пробросу портов, о котором Вы писали в названии темы, имеет, но он к данной задаче не относится.

Может на ПК1-3 на которых установлена ХР просто прописать маршруты в ВПНовскую сеть через модем 20.35.222.1? А все настройки сети оставить неизменными. Только как именнопрописать ?

[prostorNET]

Можно попробовать следующий вариант.
В сервер с сусе поставить еще один сетевой интерфейс. В него завести второй модем и на сусе настроить iproute. У Вас будет и инет и впн.

[Gaevuha]

Можно попробовать следующий вариант.
В сервер с сусе поставить еще один сетевой интерфейс. В него завести второй модем и на сусе настроить iproute. У Вас будет и инет и впн.

Можно по подробней. У меня уже две сетевухи на ПК с сусе. Это что еще третью нужно ставить? Тогда получится что в одну сетевуху останется включенн модем с интернет, в другую модем с ВПН, а третья в локалку смотреть будет? А как локальные пользователи ходить будут в инет и в впн? Как тогда настраивать сам сусе???

[prostorNET]

Можно по подробней. У меня уже две сетевухи на ПК с сусе. Это что еще третью нужно ставить? Тогда получится что в одну сетевуху останется включенн модем с интернет, в другую модем с ВПН, а третья в локалку смотреть будет? А как локальные пользователи ходить будут в инет и в впн? Как тогда настраивать сам сусе???

Ну вот суть уже ясна. А для настройки используем iproute2 и SuSEfirewall2. Модем и впн будут экстернал зоны, локалка будет интернал и настриваем роутинг (пока смотрим тут и тут). Посмотрю где то был скрипт по настройке на двух провайдеров.

[kisil]

ТС я уже вам ответил на другом форуме.

[NickLion]

Как тогда настраивать сам сусе???

По настройке SuSEFirewall я выше давал ссылку на тему на этом форуме, iptables напрямую лучше не использовать, либо вообще отключать susefirewall и вручную настраивать iptables. Если немного переделать Вашу схему и оба модема подключить к серверу, то на клиентских машинах будет просто один шлюз указан — suse-сервер, а на нём уже маршруты прописаны будут кто куда идёт, по роутингу — Вам дали ссылки. Если используется NetworkManager, то можно использоват его интерфейс для настройки маршрутов.

Если оставлять схему как есть, то придётся маршруты на всех клиентах в windows прописывать. Там в настройках сетевого соединения была кнопочка дополнительно или как-то так.

[drBatty]

У меня уже две сетевухи на ПК с сусе. Это что еще третью нужно ставить?

на компьютере А двух достаточно:
1. будет смотреть в Сеть, и оттуда прикидываться одним компьютером, с одним IP
2. будет смотреть в локалку, к которой подключены все ваши остальные компьютеры, компьютеры с маздаем, и компьютеры с vpn.

А как локальные пользователи ходить будут в инет и в впн? Как тогда настраивать сам сусе???

пользователи будут ходить через компьютер А. На котором и будет настроен netfilter (через iptables ИЛИ(sic!) через susefirewall). В простейшем случае там надо будет организовать ЛС например с IP 172.66.77.0/8, к которому подключены до 253и компьютеров (к интерфейсу №2). А также SNAT/DNAT для трансляции адресов 172.66.77.0/8 <-> вашIP.

Естественно, есть смысл запретить ВСЁ на компьютере А, и разрешить только то, что вам нужно. Да, через netfilter.

[drBatty]

Извините, вот схема

пофтыкал схему, ИМХО лучше тут три сетевых карточки поставить. Это будет намного удобнее, т.к. компьютер с SUSE сможет управлять обоими интернетами более гибко и намного проще.

Т.е. надо поставить ещё одну сетевую, вынуть модем из свитча, и воткнуть его во вторую сетевую.

Только я не понял, как у вас получился одинаковый IP на обоих интернетах? Или он разный?

iptables к таблице маршрутизации отношения не имеет.

к таблице -- не имеет. А вот к самой маршрутизации -- имеет. Ибо netfilter умеет менять IP, что естественно сказывается на их пути(route).

[kisil]

А не проще прописать маршрут в корпоративную сеть через ВПН канал на Основном шлюзе для клиентов. Они всёравно будут спрашывать маршрут у дефолтного шлюза, а он найдёт в своей таблице маршрутизации нужный маршрут и отправит их на нужный шлюз.

[drBatty]

А не проще прописать маршрут в корпоративную сеть через ВПН канал на Основном шлюзе для клиентов.

не проще, потому-что придётся рулить двумя сущностями. А если не прописывать, то рулить нужно одной, а этот "основной шлюз" будет выполнять функции обычного свитча (т.е. просто тройник).

Конечно, может я не очень хорошо понимаю задачу ТСа, и у него два магистральных канала, и два ДЦ подключённых к этим магистралям. Тогда я пас.