---

Hejsa.

Jeg mangler lidt assistance til at få lavet noget indgående nat.

Jeg har en stak wrt54g-boxe kørende med openwrt og olsr-routing internt.

På en af dem er der tilsluttet en adsl på et /30 net, samt der routes et
/28 net ind ad den samme forbindelse.

Jeg skal ha sat iptables op til at natte en ip fra subnettet (/28) til en
ip på vores interne net.

fx
x.y.z.58 => 10.128.2.250
x.y.z.59 => 10.128.2.251
x.y.z.60 => 10.128.3.250
x.y.z.61 => 10.128.3.251
x.y.z.62 => 10.128.12.250

Samtidig skal udgående forbindelser mannes ud fra hvilke subnets de
kommer fra. Dog er der nogle subnets som skal nattes via den samme ip.

Ex.
10.128.1.0/24 skal nattes til x.y.z.49
10.128.2.0/24 skal nattes til x.y.z.50
10.128.7.0/24 skal nattes til x.y.z.50
osv.

Er der nogen som har nogle links, eller tips til hvordan det gøres?

På forhånd tak.
/Henning

---

On 2006-05-19, Henning Wangerin <news_via_pan+041124@hpc.dk> wrote:
| x.y.z.58 => 10.128.2.250
| x.y.z.59 => 10.128.2.251
| x.y.z.60 => 10.128.3.250
| x.y.z.61 => 10.128.3.251
| x.y.z.62 => 10.128.12.250
|
| Samtidig skal udgående forbindelser mannes ud fra hvilke subnets de
| kommer fra. Dog er der nogle subnets som skal nattes via den samme ip.
|
| Ex.
| 10.128.1.0/24 skal nattes til x.y.z.49
| 10.128.2.0/24 skal nattes til x.y.z.50
| 10.128.7.0/24 skal nattes til x.y.z.50
| osv.
|
| Er der nogen som har nogle links, eller tips til hvordan det gøres?

Du burde kunne gøre det med en almindelig SNAT, så længe du har
conntrack modulet loadet. Dvs.

iptables -A PREROUTING -t nat -s 10.128.1.0/24 -j SNAT --to-source x.y.z.49
......

Hvis det ikke virker, skal du nok markere pakkerne, men tror umiddelbart
ikke det er nødvendigt.

--
Bo Simonsen
Stud.Scient

"Computer Science is no more about computers than astronomy is about telescopes."
--- Edsgar Dijkstra

---

On Sun, 21 May 2006 11:48:51 +0000, Bo Simonsen wrote:

> On 2006-05-19, Henning Wangerin <news_via_pan+041124@hpc.dk> wrote:
> | Samtidig skal udgående forbindelser mannes ud fra hvilke subnets de
> | kommer fra. Dog er der nogle subnets som skal nattes via den samme ip.
> |
> | Ex.
> | 10.128.1.0/24 skal nattes til x.y.z.49 10.128.2.0/24 skal nattes til
> | x.y.z.50 10.128.7.0/24 skal nattes til x.y.z.50 osv.
> |
> | Er der nogen som har nogle links, eller tips til hvordan det gøres?
>
> Du burde kunne gøre det med en almindelig SNAT, så længe du har conntrack
> modulet loadet. Dvs.
>
> iptables -A PREROUTING -t nat -s 10.128.1.0/24 -j SNAT --to-source
> x.y.z.49 .....

Takker den vil jeg se videre på.

Hvad men den indgående NAT af det routede subnet? Er det noget du kender
noget til?

/Henning

---

On 2006-05-21, Henning Wangerin <news_via_pan+041124@hpc.dk> wrote:

|> Du burde kunne gøre det med en almindelig SNAT, så længe du har conntrack
|> modulet loadet. Dvs.
|>
|> iptables -A PREROUTING -t nat -s 10.128.1.0/24 -j SNAT --to-source
|> x.y.z.49 .....

Iøvrigt måske skal du have:

iptables -A PREROUTING -t nat -s 10.128.1.0/24 -d ! <andet subnet1> ! <subnet 2> ...

Men er for træt til at regne det ud, altså så du ikke får
nattet trafikken mellem de enkelte subnets.

| Takker den vil jeg se videre på.
|
| Hvad men den indgående NAT af det routede subnet? Er det noget du kender
| noget til?

Altså du vil lave portforwarding?

Så skal du have fat i DNAT.

Jeg mener at kunne huske syntaxen er noget i stil med

iptables -t nat -A PREROUTING -d x.y.z.49 -p tcp --dport <port> -j DNAT
--to-dest localip:port

--
Bo Simonsen
Stud.Scient

"Computer Science is no more about computers than astronomy is about telescopes."
--- Edsgar Dijkstra

---

On Mon, 22 May 2006 04:55:14 +0000, Bo Simonsen wrote:

> Iøvrigt måske skal du have:
>
> iptables -A PREROUTING -t nat -s 10.128.1.0/24 -d ! <andet subnet1> !
> <subnet 2> ...
>
> Men er for træt til at regne det ud, altså så du ikke får nattet trafikken
> mellem de enkelte subnets.

Det burde ikke være noget problem, da de routes mere eller mindre direkte
mellem boxene. I princippet kommer trak mellem de enkelte subnets slet
ikke forbi border-routeren som der her er tale om opsætning af.

> | Takker den vil jeg se videre på.
> |
> | Hvad men den indgående NAT af det routede subnet? Er det noget du
> | kender noget til?
>
> Altså du vil lave portforwarding?

Nej jeg vil egentlig bare sende alt direkte videre til modtageren uden
nogen form for filtrering.

Men jeg kom til at tænke over om det ikke var muligt at sætte der direkte
op i olsr-protokollen, så border-routeren sender pakker direkte videre på
det indterne net.

Ok. Der vil kommer 10.128.x.x adresser i en traceroute udefra, men det
burde virke som en quick and dirty løsning.

> Så skal du have fat i DNAT.
>
> Jeg mener at kunne huske syntaxen er noget i stil med
>
> iptables -t nat -A PREROUTING -d x.y.z.49 -p tcp --dport <port> -j DNAT
> --to-dest localip:port

Takker en gang til.

/Henning

---

On Mon, 22 May 2006 20:30:03 +0200, Henning Wangerin wrote:

SÅ fik jeg tid til at komme vider - samt rykket deadlinen to måneder
frem. I stedet for at de gamle forbindelser dør 1/6 sker det først 1/8.


> Men jeg kom til at tænke over om det ikke var muligt at sætte der direkte
> op i olsr-protokollen, så border-routeren sender pakker direkte videre på
> det indterne net.

Boxene hvor de indgående forbindelser svarer nu efter hensigten på de
ekstrene ip-adresser, dvs jeg kan connecte til 87.y.z.50 fra invilkårlige
box og få fat i men server.

Der er stadig ikke hul udefra, men så vidt jeg kan se er det fordi min
border-router ikke vil forwarde til 87.x.y.z/32 som jeg gerne vil ha den
til pga firewallen.

Routing-tabellen på boxen er fin nok 87.x.y.50 peger på den korrekte boks.

Det ser ud til jeg "blot" skal prikke hul i firewallen for de forskellige
ip'er.

WAN er 87.a.b.86/30 (vlan1) og de interne boxe sidder på henholdsvis
10.128.6.3/16 (br0 - LAN) eller 10.128.6.1/16 (eth1 -WLAN). Jeg har
fået tildelt 87.a.x.48/28 af min isp, ag skal i første omgang har dem
forwarded 87.a.x.48/32, 87.a.x.49/32, 87.a.x.50/32 og 87.a.x.51/32 til
de respektive box, som allerede lytter med på adresserne.

Forvirret? Så spørge endneligt ind til benet

/Henning