athacker, В общем, гораздо правильнее обеспечить защиту сервисов на местах (т. е. на тех серверах, где они работают). Либо собрать всё на одной площадке, на серых адресах, и действительно поставить некий шлюз с белым IP между ними.
Спасибо, теперь ситуация для меня прояснилась окончательно.
В сторону целевогл сервера натятся, а вот к клиенту с ретранслятора не возвращаются, а снова натятся на целевой сервер, тк в правилах же прописано натить указанные порты, приходящие на публичный Ip рестраслятора. Получаетсч, под это правило попадают и ответы сервера клиенту
athacker, с моей колокольни (могу ошибаться) разница в тои, что если натить не в VPN, то работать это будет быстрее за счёт экономти ресурсов на инкапсуляцию пакетов. Очень бы хотелось так и сделать, но похоже все же придется юзать VPN
Dmitry Tallmange, да, уже чувствую, что вы правы. Провозился целую ноч, так и не удалось мне сделать external to external NAT штатными средствами iptables. Пакеты в сторону целевого сервера переадресуются, но вот назад до клиента не долетают. Похоже на фидбэк луп, тк получается, что ответы от целевого сервера также попадают под правила Forward и уходят назад на него. Возможно, бубен может решить эту проблему через создание более детальных правил или подключение еще одного нет-интерфейча к ретранлятору для маршрутизации ответных пакетов. Но вот на реддите тоже уверены, что это очень кривое решение будет и что проще все же запилить VPN
Спасибо, как раз о подобной схеме думаю.
По портам разбросать - вообще отлично.
Но тут возникает один момент:
Пробовал подобную конфигурацию iptables для порта порта HTTP - вечное ожидание загрузки страницы, хотя ретранслятор пингуется на этом порту.
Есть подозрение, что происходит следующее:
Запрос от клиента успешно уходит на сервер через ретранслятор, но когда пакеты идут назад от сервера клиенту, то на ретрансляторы разворачиваются назад в сторону сервера, т.к. в iptables ретранслятора прописана переадресация всех входящих пакетов на порту 80 на сервер.
Возникает вопрос: если исключить серверы из Routing схемы по их айпишнику, будут ли доходить от сервера клиенту пакеты, которые являются "ответами" на ранее переадресованные запросы клиента. Ведь установлен SNAT, сервер думает, что нужно доставить пакеты только ретранслятору.
Или ретранслятор успешно разберется в обратной доставке пакетов при работе DNAT/SNAT?
Второй вариант, как я думал решить эту проблему - это сделать на ретрансляторе два внешних сетевых интерфейса. На один принимать и с с него переадресовывать подключения со стороны клиента, а на другой - со стороны сервера. Но тут все сильно усложняется для меня в плане понимания конфигурации.
Написано
Войдите на сайт
Чтобы задать вопрос и получить на него квалифицированный ответ.
Спасибо, теперь ситуация для меня прояснилась окончательно.