iptables static NAT Problem
Marco Bendowski
kann es sein, dass netfilter/iptables keine "kompletten Netze" 1:1 NATen
kann ? Laut dem Linux 2.4 NAT HOWTO soll folgende Konstellation
möglich sein (6.3: Mappings in Depth):
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j SNAT --to 192.168.2.0/24
Saemtliche Versuche enden mit:
iptables v1.2.5: Bad IP adress 192.168.2.0/24
Es scheitert an der CIDR-Schreibweise, die Range-Angabe (--to 192.168.2.0-192.168.2.255) bei iptables schien zunaechst die Loesung
zu sein,
allerdings wird dann nicht 1:1 umgesetzt, sondern zu einer zufaelligen IP umgesetzt.
Wir sind gerade dabei eine Checkpoint durch netfilter zu ersetzen und wenn o.g. nicht funktioniert,
dann waere das ein K.O. Kriterium fuer netfilter.
Wer kann helfen bzw. dies bestaetigen.
Gruss,
Marco
x
> Es scheitert an der CIDR-Schreibweise, die Range-Angabe (--to
192.168.2.0-192.168.2.255) bei iptables schien zunaechst die Loesung
> zu sein,
Die 'CIDR' Schreibweise funktioniert nicht fuer NAT.
Du kannst jedoch beliebig viele SNAT eintraege verwenden:
zum beispiel:
for (( a=1; $a-255; a++ ))
do iptables -t nat -A POSTROUTING -s 192.168.1.$a -o eth1
-j SNAT --to 192.168.2.$a
done
--
--------------------------------------------------------------
Protect the net... join DShield.org
http://www.dshield.org
Marco Bendowski
> Die 'CIDR' Schreibweise funktioniert nicht fuer NAT.
> Du kannst jedoch beliebig viele SNAT eintraege verwenden:
>
> zum beispiel:
>
> for (( a=1; $a-255; a++ ))
> do iptables -t nat -A POSTROUTING -s 192.168.1.$a -o eth1
> -j SNAT --to 192.168.2.$a
> done
>
Das hatte ich auch schon angedacht, allerdings wird es bei
/16 Netzen doch etwas heftig (die haben wir hier und zudem noch
mehrere 1:1 NATs fuer /24er Netze)
Eleganter ist das patch-o-matic Modul NETMAP.
Hiermit klappt dann auch 1:1 static NAT fuer komplette Netze.
Seltsamerweise findet man hier recht wenig im Netz, eher wird
auf iproute2 (fast nat) verwiesen, hiermit vertraegt sich aber das connection-tracking
von iptables nicht (?!) und zudem kann man kein snat und dnat gleichzeitig
(was hier hier auch zwingend benoetigen) machen.
gruss,
marco
Denis Jedig
> Hiermit klappt dann auch 1:1 static NAT fuer komplette Netze.
> Seltsamerweise findet man hier recht wenig im Netz, eher wird
Naja, ist finde ich kein Wunder. Die Anforderung ist eher ungewöhnlich.
--
Denis Jedig
Lutz Donnerhacke
Nein. Sie ist in der Industrie typisch. Deswegen macht es die PIX.
Für IPtables geht es mit den Tricks der Shell: help for, help while
i=1; while [ $i -lt 255 ]; do
iptables ... -s x.x.x.$i -d y.y.y.$i ...
i=$(($i+1))
done
for i in `seq 1 254`; do
iptables ... -s x.x.x.$i -d y.y.y.$i ...
done
Denis Jedig
> * Denis Jedig wrote:
>>"Marco Bendowski" <m...@netmb.net> wrote:
>>> Hiermit klappt dann auch 1:1 static NAT fuer komplette Netze.
>>> Seltsamerweise findet man hier recht wenig im Netz, eher wird
>>
>>Naja, ist finde ich kein Wunder. Die Anforderung ist eher ungewöhnlich.
>
> Nein. Sie ist in der Industrie typisch.
Hm, okay, und der Sinn? Ich sehe den Bedarf nicht so richtig - wenn man doch
ohnehin einen ausreichend großen Adressraum hat, warum greift man dann zu
einem solchen Konstrukt, anstatt einfach durchgehend öffentliche Adressen zu
verwenden? (Außer vielleicht in der Übergangsphase)
--
Denis Jedig
Lutz Donnerhacke
>lu...@iks-jena.de (Lutz Donnerhacke) wrote:
>> * Denis Jedig wrote:
>>>"Marco Bendowski" <m...@netmb.net> wrote:
>>>> Hiermit klappt dann auch 1:1 static NAT fuer komplette Netze.
>>>> Seltsamerweise findet man hier recht wenig im Netz, eher wird
>>>
>>>Naja, ist finde ich kein Wunder. Die Anforderung ist eher ungewöhnlich.
>>
>> Nein. Sie ist in der Industrie typisch.
>
>Hm, okay, und der Sinn?
Einen stateful Paketfilter dazwischen zu klemmen. Idealerweise werden intern
auch 1918 Addressen genommen und diese 'dynamisch' auf die öffentlichen
verteilt. Einmal zugeteilt bleibt es dann dabei. Richtiges 1:1 NAT macht man
auch dann, wenn man eine DMZ mit öffentlichen Adressen betreibt und diese
über einen solchen stateful Paketfilter ins Außennetz lassen will.
Eine andere (ebenso gängige) Anforderung stammt aus dem Bereich des
Firmenmergings. Dort werden 1918 Addressen auf andere 1918 Addressen
genattet, um dann diese wiederum in 1918 Addressen zu natten.
Beispiel: Jede Filiale hat 192.168.1.0/24 verwendet. Nun werden sie
zusammengeschlossen. Renumbering soll nicht erfolgen. Also bekommt jede
Filiale im Zentralnetz 10.0.x.0/24 und dieses wird dann jeweils am Border
Router genattet.
Juergen P. Meier
RFC-1918.
Fusionen.
Partnernetze.
HTH,
Juergen
--
_ _ | Juergen P. Meier
/.._ _ _ /_) /|/| . _ | "This World is about
\_/(// (/(`// / . / |(`/(`/ | to be Destroyed."
=======_/======================== | J...@lrz.fh-muenchen.de
Denis Jedig
> * Denis Jedig wrote:
>>lu...@iks-jena.de (Lutz Donnerhacke) wrote:
>>> [1:1 NAT]
>>Hm, okay, und der Sinn?
>
> [Erklärung]
Danke
--
Denis Jedig
Marc Haber
>Beispiel: Jede Filiale hat 192.168.1.0/24 verwendet. Nun werden sie
>zusammengeschlossen. Renumbering soll nicht erfolgen.
Deswegen predige ich seit 1847, dass man bitte seine site local IP
ranges auswürfelt und keine "glatten" Ziffern nimmt.
Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Karlsruhe, Germany | Beginning of Wisdom " | Fon: *49 721 966 32 15
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fax: *49 721 966 31 29
Felix von Leitner
> Einen stateful Paketfilter dazwischen zu klemmen.
?!
> Idealerweise werden intern auch 1918 Addressen genommen und diese
> 'dynamisch' auf die öffentlichen verteilt.
Bitte?! Idealerweise haben die Leute einfach ganz normale IP-Adressen
und gar kein NAT. Du hast dir offenbar zu viel Cisco Kram angehört, die
legen in der Tat eine Menge Wert darauf, daß man am Ende glaubt, der
ganze Kram würde in der Praxis gebraucht.
> Einmal zugeteilt bleibt es dann dabei. Richtiges 1:1 NAT macht man
> auch dann, wenn man eine DMZ mit öffentlichen Adressen betreibt und diese
> über einen solchen stateful Paketfilter ins Außennetz lassen will.
Bitte?! Entscheide dich mal. Sind das öffentliche Adressen oder
braucht man NAT? NAT braucht man ja gerade für den Fall, wenn man
_keine_ öffentlichen Adressen hat.
> Eine andere (ebenso gängige) Anforderung stammt aus dem Bereich des
> Firmenmergings. Dort werden 1918 Addressen auf andere 1918 Addressen
> genattet, um dann diese wiederum in 1918 Addressen zu natten.
Das ist in der Tat ein Anwendungsfall für 1:1 NAT. Um nicht zu sagen:
DER Anwendungsfall.
Felix
Lutz Donnerhacke
>Thus spake Lutz Donnerhacke (lu...@iks-jena.de):
>> Einen stateful Paketfilter dazwischen zu klemmen.
>
>?!
Nimm einen /28-er Bereich, der zu /31 auf dem Link zum Perimeter-Router
liegen und sonst in der DMZ klemmen soll. Da bietet sich etwas an, daß
filtert ohne zu routen. Witzigerweise kann man diese Teil wirklich sinnvoll
in bestehende Topologien einbauen. Leider verschwinden sie vom Markt, weil
alle Welt meint, sie könnten sowieso Router konfigurieren ...
>> Idealerweise werden intern auch 1918 Addressen genommen und diese
>> 'dynamisch' auf die öffentlichen verteilt.
>
>Bitte?! Idealerweise haben die Leute einfach ganz normale IP-Adressen
>und gar kein NAT. Du hast dir offenbar zu viel Cisco Kram angehört, die
>legen in der Tat eine Menge Wert darauf, daß man am Ende glaubt, der
>ganze Kram würde in der Praxis gebraucht.
Ich kenne mehrere Installationen, bei denen intern ein ganzer Satz von
Kisten untereinander irgend ein Legacy Müll sprechen soll. Multiple
IP-Addressen würden da nur verwirren (besonders die Software). Also läßt man
die alle mit 1918 spielen und gestattet Teilen daraus einen Netzzugang mit
NAT.
>> Einmal zugeteilt bleibt es dann dabei. Richtiges 1:1 NAT macht man
>> auch dann, wenn man eine DMZ mit öffentlichen Adressen betreibt und diese
>> über einen solchen stateful Paketfilter ins Außennetz lassen will.
>
>Bitte?! Entscheide dich mal. Sind das öffentliche Adressen oder
>braucht man NAT? NAT braucht man ja gerade für den Fall, wenn man
>_keine_ öffentlichen Adressen hat.
NAT kann man auch zwischen den 'gleiche' Adressen fahren. ;-)
>> Eine andere (ebenso gängige) Anforderung stammt aus dem Bereich des
>> Firmenmergings. Dort werden 1918 Addressen auf andere 1918 Addressen
>> genattet, um dann diese wiederum in 1918 Addressen zu natten.
>
>Das ist in der Tat ein Anwendungsfall für 1:1 NAT. Um nicht zu sagen:
>DER Anwendungsfall.
Allerdings nur laut Lehrbuch.
Felix von Leitner
> sowieso Router konfigurieren ...
Die Lösung ist, den Leuten zu zeigen, wie man das mit Routern macht, und
nicht noch weitere Wartungs- und Dokumentationsalbträume in Form von NAT
zu schaffen.
> Ich kenne mehrere Installationen, bei denen intern ein ganzer Satz von
> Kisten untereinander irgend ein Legacy Müll sprechen soll. Multiple
> IP-Addressen würden da nur verwirren (besonders die Software). Also läßt man
> die alle mit 1918 spielen und gestattet Teilen daraus einen Netzzugang mit
> NAT.
Sowas kenne ich auch. Wir sprachen aber nicht von kaputten
Legacy-Installationen, sondern vom Idealfall.
> >Bitte?! Entscheide dich mal. Sind das öffentliche Adressen oder
> >braucht man NAT? NAT braucht man ja gerade für den Fall, wenn man
> >_keine_ öffentlichen Adressen hat.
> NAT kann man auch zwischen den 'gleiche' Adressen fahren. ;-)
Du bist ja noch perverser als bisher angenommen! ;)
> >Das ist in der Tat ein Anwendungsfall für 1:1 NAT. Um nicht zu sagen:
> >DER Anwendungsfall.
> Allerdings nur laut Lehrbuch.
Soweit ich weiß läuft der Zusammenschluß der Flugsicherungen in Europa
so.
Felix
Lutz Donnerhacke
>> Leider verschwinden sie vom Markt, weil alle Welt meint, sie könnten
>> sowieso Router konfigurieren ...
>
>Die Lösung ist, den Leuten zu zeigen, wie man das mit Routern macht, und
>nicht noch weitere Wartungs- und Dokumentationsalbträume in Form von NAT
>zu schaffen.
Da bin ich gern bei. Eine Firewall jedoch sollte IMHO einfach nur filtern
und nichts routen.