Роутинг через внешний хост?

Question

[Сергей Савостин]

Подскажите можно ли реализовать такую задумку:
1. Есть физический сервер с белым ip1. На нем под Proxmox крутится N виртуалок с 10.0.0.*
2. Есть виртуальный сервер в другом DC с белым ip2 и Debian/Ubuntu
3. Нужно (желательно без VPN) заставить ходить в Интернет (т.е. весь трафик) виртуалки 10.0.0.* с первого сервера через ip2.
4. Доступа внутрь к виртуалкам нет. Есть ssh доступ к Proxmox и ssh к ip2. Т.е. надо порешать вопрос снаружи виртуалок.
5. Никаких портов пробрасывать внутрь виртуалок не нужно - будут только http запросы из виртуалок в мир.

Как решить вопрос через SOCKS5 (ssh tunnel) понимаю, но его вроде бы снаружи не решить, верно?
Можно как-то на Proxmox "пробросить" 10.0.0.* через ip2, а не через ip1?

Comments

[AUser0]

Можно в IPTABLES на ip1 весь нужный HTTP-трафик DNAT-ить на прозрачный прокси ip2, вот и всё.

[Сергей Савостин]

AUser0, А можно пример iptables? Я не большой специалист.
И под "прозрачный прокси ip2" Вы подразумеваете какую-то программу (прокси сервер) или можно тоже обойтись iptables?

[AUser0]

iptables -t nat -I PREROUTING -s 10.0.0.0/24 -m tcp -p tcp --dport 80 -j DNAT --to-destination _ip2_:8080
iptables -I FORWARD -s 10.0.0.0/24 -m tcp -p tcp -d _ip2_ --dport 8080 -j ACCEPT

Разумеется на _ip2_:8080 должен отвечать демон прозрачного прокси.

[Сергей Савостин]

AUser0, А не посоветуете какой-нибудь демон прокси?
И разве ему не нужен специальный заголовок типа CONNECT? Я о том, что http-клиент в вируалке не подозревает, что он стучится на прокси, а не на вебсервер.

[AUser0]

Но можно и через iptables, правилом SNAT.

[AUser0]

Можно Squid, он умеет работать как прозрачный прокси (клиент про него не знает, обращается как к обычному сайту).

[Сергей Савостин]

Но можно и через iptables, правилом SNAT.

На ip2? Как? Без прокси никак не обойтись?
Как в iptables на ip2 сказать, что все, что приходит с ip1, "проксировать" дальше в Интернет и все, что вернулось, отдавать обратно на ip1?
Я понимаю как это работает внутри Proxmox (все, что идет с 10.0.0.* "проксируется" в Интернет и обратно, маскарадинг кажется).
А можно ли это сделать между двумя хостами в Интернет - не знаю.

[AUser0]

Хотя нет, я ошибся, без proxy работать не будет.
Мы перенаправили все сетевые пакеты (с WEB-трафиком) с ip1 на ip2, стерев/потеряв первоначальные IP назначения (на которые пакеты должны были дойти). Соответственно ip2 не знает, куда именно нужно перенаправить все эти пришедшие конкретно ЕМУ пакеты. Узнать, куда именно нужно доставить - может только прозрачный proxy, который разберёт каждый HTTP-запрос, вытащит адрес назначения и сделает необходимый коннект/запрос...

[Сергей Савостин]

Но Proxmox же как-то разруливает этот вопрос внутри...

[AUser0]

Ну да, потому и разруливает, что внутри одного физического устройства. Как вариант решения - VPN.

[Сергей Савостин]

poisons, Меня NAT/iptables не пугает. Я понимаю как работает Proxmox и что он по сути Debian + KVM.
Но я к сожалению не умею писать правила "GRE + маршрутизация + NAT".
Вот об этом и спрашиваю.