Iptables: как заставить хосты выходить через определенный внешний IP?

Question

[TIEugene]

Пусть есть Linux-router.
Пусть есть 3 внешних IP (eth0=EXT_IP0, eth0:1=EXT_IP1, eth0:2=EXT_IP2).
Пусть у него есть внутренний eth1=192.168.0.1.
И пусть есть некий 192.168.0.2 — сервер терминалов.
Задача:
1. прокидывать снаружи с EXT_IP1 порт терминалов на сервер терминалов.
2. но чтобы с последнего наружу трафик (новый) выезжал по EXT_IP2.

Первая часть решена (CentOS6, /etc/sysconfig/iptables):
*nat
-A PREROUTING -i eth0 -d <EXT_IP1> -p tcp --dport 3389 -j DNAT --to-destination 192.168.0.2:3389
*filter
-A FORWARD -i eth0 -m state --state NEW -m tcp -p tcp -d 192.168.0.2 --dport 3389 -j ACCEPT

Маскарад тоже:
-A POSTROUTING -o eth0 -j MASQUERADE

Но выезжают все, ессно, через EXT_IP0.
А надо — через EXT_IP2.

Answer 1

[polyakstar]

И еще, совет, если вы точно знаете ip-адрес (фиксированный) на внешнем интерфейсе, то вместо -j MASQUERADE лучше используйте -j SNAT

Comments

[TIEugene]

Огромное спасибо за ответ — завтра буду пробовать (видать — это не 5 минут дело).

[TIEugene]

Всё оказалось просто (после недели долботни) — iproute трогать не надо, маркировать в iptables — тоже:

-A POSTROUTING -o eth0 -s 192.168.3.2 -j SNAT --to-source EXT_IP1
-A POSTROUTING -o eth0 -s 192.168.1.2 -j SNAT --to-source EXT_IP2

В такой конфигурации заезжать на внутренние машины можно с любого IP, ответ будет с того же IP — но выезжать они будут через назначенные EXT_IP*.

Большое спасибо за помощь (SNAT).

Answer 2

[polyakstar]

создаем 2 таблицы маршрутизации
echo 101 wan101 >> /etc/iproute2/rt_tables
echo 102 wan102 >> /etc/iproute2/rt_tables

Помечаем исходящий трафик с нужной машины соответствующими метками в iptables:
iptables -t mangle -A PREROUTING -s 192.168.0.2 -j MARK --set-mark 102
iptables -t mangle -A PREROUTING #все остальное# -j MARK --set-mark 101

Настраиваем корректно обе таблицы маршрутизации:
ip route add $сеть_провайдера via $внешнийIP dev eth0:2 table wan102
…
ip rule add fwmark 102 table wan102

И по аналогии настраиваем таблицу для остальных wan101

Comments

[TIEugene]

Прошу прощения — не могли бы Вы подсказать — не будет ли эта конструкция проще, если выгонять через EXT_IP2 всю сеть?
Я тут подумал и решил выгнать сервер терминалов в отдельную физическую (и IP, ессно) сеть.

[polyakstar]

Ну, вам виднее. Можно делать как угодно. Я лишь основную логику объяснил. Фильтруем, маркируем, маршрутизируем. А что куда и как фильтровать\маршрутизировать нужно решать из общих соображений топологии сети, а не легче\проще.

Из общих соображений — логично делать количество таблиц маршрутизации по количеству внешних интерфейсов и распределять исходящий трафик по принципу: откуда пришел, туда и отправляем.

А уж через какой выводить вовне сервер — дело сугубо ваше интимное.

Как упростит\усложнит задачу выделение сервера в отдельную сеть — не вижу. Скорее чуть усложнит. Проще просто отфильтровать по источнику и отмаркировать.

[TIEugene]

Судя по всему — помечаются _все_ пакеты — в том числе и ответные.
Т.е. я заезжаю на IP1 — а ответ возвращается с IP2 :-(

[polyakstar]

Выберите сами что помечать. В двух словах не рассказать — попробуйте осилить это www.opennet.ru/docs/RUS/iptables/

[TIEugene]

Помечать не надо. См выше.

Answer 3

[TIEugene]

Не выходит каменный цветок…

А зачем выезжать с другого IP? Ну, например, если анонимный прокси. Чтобы IP выезда не совпадал с IP выезда.

Comments

[TIEugene]

IP вЪезда не совпадал с выездом