Am 27.04.2011 15:00, schrieb slamby:
Der Debian-PC 'maskiert' das zweite Netzwerk mittels NAT.
# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
...
Was ich damit sagen möchte ist, dass man hier vielleicht auch über SNAT
nachdenken könnte. Alternativ wäre dann die Verwendung so:
iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -j SNAT --to-source
192.168.1.10
Dieser Befehl, ausgeführt auf dem PC, würde dazu führen, dass alle
Pakete, die aus dem 2er-Netzwerk kommen bezüglich Ihrer Absenderadresse
manipuliert werden (auf 192.168.1.10). Der Router (PC) merkt sich das
und wenn ein Paket als Antwort eintrifft, dann manipuliert er (der
Kernel) wiederum automatisch - ohne das dies per rule definiert werden
muss - das eintreffende Paket und sendet es an den ursprünglichen
Absender aus dem 2er-Netz (DNATing).
Interessanter Ansatz.
Im Szenario von Sven sollte das auch funktionieren, zumindest wenn die
IP-Adresse an eth0, wie ich vermute, nicht über DHCP zugewiesen wird.
In der Rule ganz oben werden alle über eth0 gerouteten Pakete maskiert.
Unter Umständen ist es nicht das, was man will, wenn mehrere IPs dort
definiert sind. Könnte es sein, dass es ggfs. -o eth1 lauten sollte?
Das NATing/Masquerade sollte schon in Richtung Internet funktionieren. ;-)
Der Punkt mit mehreren IP's ist auch nicht von der Hand zu weisen.
Zum Glück war nach Sven's Schilderung aber nicht davon auszugehen.
Werde aber bei Gelegenheit mal ausprobieren was in einem solchen Falle wirklich
passiert.
Die Regel auf eine IP-Adresse zu ändern würde ja wieder die DHCP-Problematik
ins Spiel bringen.
Gruß,
Klaus
--
----------------------------------------------------------------------------
PUG - Penguin User Group Wiesbaden - http://www.pug.org
