Создание 1:1 NAT с помощью iptables

Question 1

Прежде всего, исходный NAT должен быть:

iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j NETMAP --to 192.168.1.0/24

( POSTROUTINGсо -sспичкой)

и конечный NAT должен быть:

iptables -t nat -A PREROUTING -d 192.168.1.0/24 -j NETMAP --to 192.168.10.0/24

( PREROUTINGсо -dспичкой)

Примечание: Насколько мне известно, правило NAT назначения необходимо только для "НОВОГО" трафика (из локальной сети). Правило NAT источника достаточно для обратного трафика, поскольку NAT назначения для любого из них "подразумевается" им.

Но тут возникает проблема: как My Computerузнать Primitive Router, куда следует направить трафик 192.168.1.0/24(который «на самом деле» 192.168.10.0/24) Raspberry Pi 4для дальнейшей маршрутизации?

Ответ таков: вам необходимо Raspberry Pi 4отвечать на ARP-запросы для 192.168.1.0/24.

Один из способов добиться этого — настроить нечто под названием «AnyIP» (по крайней мере, я слышал такой термин). По сути, это означает добавление маршрута подсети типа localдля 192.168.1.0/24:

ip r add local 192.168.1.0/24 dev eth0

Примечание: я точно не помню, будет ли это работать, если для arp_ignoresysctl установлено значение eg 1.

Убедитесь, что вы включили пересылку IP(v4) с помощью sysctl и что ни один брандмауэр не Raspberry Pi 4блокирует пересылку необходимого вам трафика (согласно правилу или политике цепочки).

Answer

Прежде всего, исходный NAT должен быть:

iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -j NETMAP --to 192.168.1.0/24

( POSTROUTINGсо -sспичкой)

и конечный NAT должен быть:

iptables -t nat -A PREROUTING -d 192.168.1.0/24 -j NETMAP --to 192.168.10.0/24

( PREROUTINGсо -dспичкой)

Примечание: Насколько мне известно, правило NAT назначения необходимо только для "НОВОГО" трафика (из локальной сети). Правило NAT источника достаточно для обратного трафика, поскольку NAT назначения для любого из них "подразумевается" им.

Но тут возникает проблема: как My Computerузнать Primitive Router, куда следует направить трафик 192.168.1.0/24(который «на самом деле» 192.168.10.0/24) Raspberry Pi 4для дальнейшей маршрутизации?

Ответ таков: вам необходимо Raspberry Pi 4отвечать на ARP-запросы для 192.168.1.0/24.

Один из способов добиться этого — настроить нечто под названием «AnyIP» (по крайней мере, я слышал такой термин). По сути, это означает добавление маршрута подсети типа localдля 192.168.1.0/24:

ip r add local 192.168.1.0/24 dev eth0

Примечание: я точно не помню, будет ли это работать, если для arp_ignoresysctl установлено значение eg 1.

Убедитесь, что вы включили пересылку IP(v4) с помощью sysctl и что ни один брандмауэр не Raspberry Pi 4блокирует пересылку необходимого вам трафика (согласно правилу или политике цепочки).

Question 2

Я пытаюсь немного узнать о трансляциях NAT в Linux, но не видел ни одного доказательства концепции, которое было бы максимально упрощено.

Вот мой максимально простой скрипт, который я использую на своем настольном ПК для «раздачи интернета» при подключении к нему другого устройства по локальной сети:

#!/bin/bash

# masquerade $1 (e.g. eth0, ppp0) as $2 (default wlan0)

INTIF="$1"
EXTIF=${2:-wlan0}

echo $INTIF $EXTIF

echo "1" > /proc/sys/net/ipv4/ip_forward

iptables -P INPUT ACCEPT
iptables -F INPUT
iptables -P OUTPUT ACCEPT
iptables -F OUTPUT 
iptables -P FORWARD DROP
iptables -F FORWARD 
iptables -t nat -F
iptables -A FORWARD -i $EXTIF -o $INTIF -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT
iptables -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE

Вам нужно вызвать его с помощью "внутреннего" интерфейса (сеть с клиентами, которым нужен NAT) и "внешнего" интерфейса (в сторону Интернета). Настройка внутреннего интерфейса, DHCP и т. д. не включена (вы спрашивали только о NAT).

Это натолкнуло меня на мысль реализовать 1:1 NAT на моем Raspberry 4, где все IP-адреса из диапазона 192.168.10.x/24 транслируются в диапазон 192.168.1.x/24.

Это намного сложнее, чем «базовый NAT».

Но вам не обязательно это делать, и на самом деле это не будет хорошо работать с вашей примитивной комбинацией маршрутизатора и Raspberry Pi 4. Вместо этого просто выполните базовый NAT на Raspberry Pi 4. Это будет означать, что все на 192.168.10.*/24 будет преобразовываться в 192.168.0.0, и маршрутизатор прекрасно это поймет.

(А в реальной жизни вы бы просто соединили два коммутатора и получили бы одну подсеть, предоставляемую вашим маршрутизатором. Кстати, если ваш примитивный маршрутизатор можно перепрошить с помощью OpenWRT и т. д., он также сможет выполнять маршрутизацию).

Answer

Я пытаюсь немного узнать о трансляциях NAT в Linux, но не видел ни одного доказательства концепции, которое было бы максимально упрощено.

Вот мой максимально простой скрипт, который я использую на своем настольном ПК для «раздачи интернета» при подключении к нему другого устройства по локальной сети:

#!/bin/bash

# masquerade $1 (e.g. eth0, ppp0) as $2 (default wlan0)

INTIF="$1"
EXTIF=${2:-wlan0}

echo $INTIF $EXTIF

echo "1" > /proc/sys/net/ipv4/ip_forward

iptables -P INPUT ACCEPT
iptables -F INPUT
iptables -P OUTPUT ACCEPT
iptables -F OUTPUT 
iptables -P FORWARD DROP
iptables -F FORWARD 
iptables -t nat -F
iptables -A FORWARD -i $EXTIF -o $INTIF -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT
iptables -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE

Вам нужно вызвать его с помощью "внутреннего" интерфейса (сеть с клиентами, которым нужен NAT) и "внешнего" интерфейса (в сторону Интернета). Настройка внутреннего интерфейса, DHCP и т. д. не включена (вы спрашивали только о NAT).

Это натолкнуло меня на мысль реализовать 1:1 NAT на моем Raspberry 4, где все IP-адреса из диапазона 192.168.10.x/24 транслируются в диапазон 192.168.1.x/24.

Это намного сложнее, чем «базовый NAT».

Но вам не обязательно это делать, и на самом деле это не будет хорошо работать с вашей примитивной комбинацией маршрутизатора и Raspberry Pi 4. Вместо этого просто выполните базовый NAT на Raspberry Pi 4. Это будет означать, что все на 192.168.10.*/24 будет преобразовываться в 192.168.0.0, и маршрутизатор прекрасно это поймет.

(А в реальной жизни вы бы просто соединили два коммутатора и получили бы одну подсеть, предоставляемую вашим маршрутизатором. Кстати, если ваш примитивный маршрутизатор можно перепрошить с помощью OpenWRT и т. д., он также сможет выполнять маршрутизацию).

Question 3

Нет, добавления правил NAT недостаточно. Поскольку обнаружение хостов IPv4 в локальной сети (сегмент широковещательной рассылки) работает с использованием ARP. Широковещательный трафик ARP не будет проходить через ваш внутренний блок NAT, и блок NAT также не будет отвечать. Чтобы заставить его отвечать, вам нужно proxy_arp.

Однако неясно, чего можно добиться с помощью такой настройки. Просто поместить все в одну сеть или добавить маршруты к ПК (вместо маршрутизатора) и МАСКАРАДИТЬ только на внешний маршрутизатор.

Answer

Нет, добавления правил NAT недостаточно. Поскольку обнаружение хостов IPv4 в локальной сети (сегмент широковещательной рассылки) работает с использованием ARP. Широковещательный трафик ARP не будет проходить через ваш внутренний блок NAT, и блок NAT также не будет отвечать. Чтобы заставить его отвечать, вам нужно proxy_arp.

Однако неясно, чего можно добиться с помощью такой настройки. Просто поместить все в одну сеть или добавить маршруты к ПК (вместо маршрутизатора) и МАСКАРАДИТЬ только на внешний маршрутизатор.

Создание 1:1 NAT с помощью iptables

решение1

решение2

решение3

Связанный контент