BnW — l29ah: На лаптопе 172.28.0.2 через iodine, который на…

На лаптопе 172.28.0.2 через iodine, который на сервере 172.28.0.1. На сервере есть внешний айпи 1.1.1.1, поднят маскарадинг. Когда на лаптопе ip r a default via 172.28.0.1, через него ходит трафик до всех интернетов кроме самого 1.1.1.1. Что я сделал не так? Нат сделан как-то так: iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

#D9LMWL / @l29ah / 3543 дня назад

Первый вопрос после настроки NAT: «А почему обратно не подключается?»

#D9LMWL/BDQ / @ceyt / 3543 дня назад

@ceyt ЧЕ Нат ещё и натирует в более другой интерфейс на сервере, с которого до 1.1.1.1 достучаться можно почему-то.

#D9LMWL/I1P / @l29ah --> #D9LMWL/BDQ / 3543 дня назад

@l29ah Адреса в линуксе принадлежат всей системе сразу, пакет на 1.1.1.1 передаётся слушающему приложению независимо от того, на какой интерфейс он пришёл. Сервер видит, что адрес клиента в локалке и шлёт ответ с интерфейса в ней. Клиент ждал ответ с 1.1.1.1, а приходит ответ с 172.28.0.1, и он его отбрасывает.

Настройка NAT состоит не из одного всем известного действия, а из трёх:
— маскарадинг из частной сети в глобальную;
— правильная обработка пакетов из частной сети на внешний(-е) адрес(а) при обращении к сервисам внутри частной сети;
— правильная обработка пакетов из частной сети на внешний(-е) адрес(а) при обращении к сервисам самого маршрутизатора.

Точно помню, что в каком-то популярном мануале по iptables всё это пошагово рассматривалось, и, само собой, найти его не могу никак. В любом случае, ответ нагугливается легко: http://serverfault.com/questions/55611/loopback-to-forwarded-public-ip-address-from-local-network-hairpin-nat

#D9LMWL/6J7 / @ceyt --> #D9LMWL/I1P / 3543 дня назад

@ceyt Бля но почему у меня всё работает для второй сети? Чмаки.

#D9LMWL/N8U / @l29ah --> #D9LMWL/6J7 / 3543 дня назад

@l29ah Не вижу никакой «второй сети».

#D9LMWL/4JW / @ceyt --> #D9LMWL/N8U / 3543 дня назад

@l29ah https://www.frozentux.net/iptables-tutorial/chunkyhtml/x4033.html — спрятано в описание DNAT, хрен найдёшь. В SNAT симметрично.

#D9LMWL/7VZ / @ceyt --> #D9LMWL/N8U / 3543 дня назад

@ceyt l29ah-x201 ~ ∞ ip r s default via 192.168.116.1 dev eth0 metric 203 l29ah-x201 ~ ∞ ping l29ah.blasux.ru PING l29ah.blasux.ru (95.27.223.83) 56(84) bytes of data. 64 bytes from 95-27-223-83.broadband.corbina.ru (95.27.223.83): icmp_seq=1 ttl=64 time=0.157 ms l29ah-home ~ ∞ ip a s ppp0 32: ppp0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1456 qdisc pfifo_fast state UNKNOWN qlen 3 link/ppp inet 95.27.223.83 peer 95.27.192.1/32 scope global ppp0 valid_lft forever preferred_lft forever l29ah-home ~ ∞ ip a s br0 5: br0@NONE: <BROADCAST,MULTICAST,PROMISC,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP link/ether ba:ae:e4:45:9a:0f brd ff:ff:ff:ff:ff:ff inet 192.168.116.1/24 brd 192.168.116.255 scope global br0 valid_lft forever preferred_lft forever inet6 2001:470:71:34b::1/64 scope global valid_lft forever preferred_lft forever inet6 fe80::b8ae:e4ff:fe45:9a0f/64 scope link valid_lft forever preferred_lft forever

#D9LMWL/GOT / @l29ah --> #D9LMWL/4JW / 3543 дня назад

Бля я тупой, nvm.

#D9LMWL/JEQ / @l29ah / 3543 дня назад

@l29ah Как бы сказать ip r, чтобы udp-пакеты на определённый адрес и порт летели через одну жопу, а остальное - через другую?

#D9LMWL/7JO / @l29ah --> #D9LMWL/JEQ / 3543 дня назад

@l29ah ip rule

#D9LMWL/46Z / @etw --> #D9LMWL/7JO / 3543 дня назад

BnW для ведрофона BnW на Реформале Викивач Котятки