iptables: fallweise maskieren



  • Hi, ich hab ein problem, zu dem ich einfach keine lösung im i-net finde. Hoffentlich könnt ihr mir weiter helfen .. und zwar eigentlich ganz einfach erklärt: ich möchte das masquerading generell einschalten, aber für bestimmte ziel-ip-adressen soll mit der internen ip geroutet werden, also keine maskierung vorgenommen werden. Wie kann man das realisieren mit iptables?



  • cluster schrieb:

    aber für bestimmte ziel-ip-adressen soll mit der internen ip geroutet werden, also keine maskierung vorgenommen werden.

    Das klingt hochgradig unsinnig. Was möchtest Du damit machen?



  • nman schrieb:

    cluster schrieb:

    aber für bestimmte ziel-ip-adressen soll mit der internen ip geroutet werden, also keine maskierung vorgenommen werden.

    Das klingt hochgradig unsinnig. Was möchtest Du damit machen?

    IPSec-/Internet-Gateway. Internet mit NAT, VPN ohne - nur so als Idee.

    Edit: Nach kurzer Ueberlegung ist das Quatsch. Faellt mir doch gerade nix ein 🤡



  • Auch wenn das für euch unsinnig erscheint, es gibt dafür eine reale anwendung. Wäre also schön, wenn es für dieses Problem eine Lösung von euch gibt.



  • Ich hab zwar keine Lösung, aber mal aus interesse, in welchem Fall wäre das nützlich? Würde mich wirklich mal interessieren, weil die interne IP ja für die äußeren Router unbekannt wären und somit keine Antwort kommen würde.

    Würde nur Sinn machen, wenn du UDP-Pakete mit falschem Absender schicken wolltest. Vielleicht kannst du im internen Teil mehrere Subnetze erstellen und ein Subnetz maskieren, das andere nicht.



  • sinn: es soll ein dienst in einem entfernten netz angesprochen werden .. dieser benötigt interne adressen des sende-netzwerks ... das ganze geht dann natürlich über einen tunnel


  • Mod

    cluster schrieb:

    sinn: es soll ein dienst in einem entfernten netz angesprochen werden .. dieser benötigt interne adressen des sende-netzwerks ... das ganze geht dann natürlich über einen tunnel

    😕 Aber dann kann der externe Server den Rechner trotzdem nicht unter dieser IP erreichen. Wenn du ihm die interne IP bloß mitteilen willst, weil er de für irgendeine Rechnung benötigt, dann schick sie ihm als Daten.



  • Das Problem ist wie gesagt, wenn die Pakete nicht maskiert werden, kann keine Antwort zurückkommen. Damit kann zumindest bei TCP erst gar keine Verbindung aufgebaut werden. Wenn das ganze eh nacher getunnelt wird, warum wird die Verbindung nicht über diesen Tunnel aufgebaut?

    Aber wie gesagt, vielleicht kannst du Routingtabellen für getrennte Subnetze erstellen. Dann weist du dem entsprechenden Rechner zwei IPs zu und die nicht maskierten Sachen laufen über ein bestimmtes Subnetz, die anderen über das andere.

    Und wie Sepp sagt, schick ihm die IP über die Daten, denn so wie du das schilderst ergibt die Sache wirklich sehr wenig Sinn.



  • Banke für euer Bemühen ...
    Wie schon gesagt hat das Ganze einen realen, praxis-bezogenen (legalen) Hintergrund, den ich hier nicht zur Diskussion gestellt habe.

    Ich wollte nur wissen, ob man das maskieren mit iptables anhand von ziel-ip's entscheiden kann und wenn ja, wie!?!

    Also würde ich darum bitten keine Comments mehr über den Sinn zu stellen, sondern um konstruktive Vorschläge zum Lösen des Problems bitten.

    Vielen Dank im Voraus ...



  • cluster schrieb:

    sinn: es soll ein dienst in einem entfernten netz angesprochen werden .. dieser benötigt interne adressen des sende-netzwerks ... das ganze geht dann natürlich über einen tunnel

    gut, hatte ich ja schon mal richtig geraten.
    dann verstehe ich aber dein problem nicht. deinen tunneltraffic routest du auf dein tun device, auf ethX nattest du. wenn das nicht die loesung ist, musst du schon ein wenig konkreter werden...


Anmelden zum Antworten