Routage avec iproute2 après NAT

Si je vous comprends bien, vous avez 192.168.1.0/24 en eth3 et vous voulez l'acheminer et le NAT vers quelque chose qui se trouve derrière eth4 Il n'est pas précisé ce qu'il y a exactement derrière l'idée de l'utilisation de l'énergie. eth4 S'il fait du DHCP, et s'il a besoin d'adresses statiques ou non.

(Dans la plupart des cas, vous disposez d'une sorte de routeur derrière eth4 qui gère le DHCP et distribue les adresses).

La méthode habituelle consiste donc à activer le transfert et à effectuer les opérations suivantes

iptables -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE

donde $EXTIF est votre interface externe ( eth4 ). Les MASQUERADE es SNAT avec l'adresse qui se trouve sur eth4 Le système est donc résistant à la réaffectation d'adresses. Et si vous ne mentionnez pas de protocoles, tout est traité par NAT, ce qui est généralement ce que vous voulez.

Deuxièmement, il n'y a aucune raison de faire du routage basé sur des tables (à moins qu'il y ait des détails supplémentaires que vous n'avez pas expliqués). Donc oubliez les tables, et s'il n'y a pas de DHCP derrière eth4 qui distribuerait les informations de passerelle pour la route par défaut, il suffit de faire

ip route default via 172.16.61.1

En supposant que eth4 a déjà une adresse en 172.16.61.*/24 , c'est suffisant (le 172.16.61.0/24 est défini lorsque vous définissez l'adresse IP).

Mais la meilleure chose à faire est d'utiliser le DHCP, s'il est activé sur votre routeur (je suppose que c'est le cas). BOOTPROTO=dhcp (s'il s'agit de Red Hat).

Si le problème est lié à l'acheminement de la politique : Vous souhaitez acheminer les paquets sortants provenant de 192.168.1.0/24 via une route par défaut dans la table route61 Vous devez donc faire ce qui suit

ip rule add from 192.168.1.0/24 pref 15000 table route61

et non from 172.16.61.0/24 .

Cela dit, je ne sais pas vraiment comment le NAT interagit avec le routage des politiques. J'aurais assumer les paquets de retour sont d'abord déNATés, puis les règles de la table principale les acheminent correctement, mais je n'ai jamais essayé cela moi-même.

Pour déboguer, ip route get X.X.X.X from Y.Y.Y.Y peut s'avérer utile, de même que tcpdump sur les deux interfaces comme vous l'avez déjà fait dans l'autre question que vous avez mentionnée.

Il sera également plus facile d'essayer d'abord sans tables. Une fois que cela fonctionne, vous savez que rien d'autre ne vous gêne, et vous pouvez essayer avec des tableaux.

En utilisant une nouvelle table de routage, vous devez ajouter même les routes connectées : 172.16.61.0/24 via 172.16.61.1 dev eth4 proto static devrait être proto scope link au lieu de cela avec l'IP source spécifiée, et vous manquez la route 192.168.1.0/24 La décision de routage est effectuée avant la sortie / post routage nat donc ip rule add from doit utiliser l'adresse IP d'origine.

# Configure tables
echo '2 table61' >> /etc/iproute2/rt_tables 
echo '3 table62' >> /etc/iproute2/rt_tables 

# routing decision is performed before output / post routing nat
ip rule add from 192.168.1.5 lookup table62
ip rule add from 192.168.1.0/24 lookup table61

ip route add 192.168.1.0/24 dev eth3 proto kernel scope link src 192.168.1.150 table table61
ip route add 172.16.61.0/24 dev eth4 proto kernel scope link src 172.16.61.2 table table61
ip route add default via 172.16.61.1 table table61

ip route add 192.168.1.0/24 dev eth3 proto kernel scope link src 192.168.1.150 table table62
ip route add 172.16.62.0/24 dev eth4 proto kernel scope link src 172.16.62.100 table table62
ip route add default via 172.16.62.254 table table62

Par ailleurs, il se peut que j'aie mélangé vos questions dans ma tête. Si cela ne fonctionne pas immédiatement, pourriez-vous ajouter ce qui suit à votre question ?

ip a
ip r show table table61
ip r show table table62
ip rule show
iptables -L -n -v
iptables -t nat -L -n -v