DNAT для подключения подсети через прокси к Интернету
Я хочу подключить сервер в подсети к Интернету через прокси-сервер. Но я не могу пинговать хост в Интернете (www). Фактически подсеть-сервер и прокси-сервер используют общий выделенный сервер (виртуализация с докером). Есть две сетевые карты (eth0 для прокси-сервера и t39 для подсети-сервера). Итак, общий план выглядит так:
Интернет <==> 171.16.0.39 | 191.167.1.1 <==> 191.167.1.2
191.167.1.2 - это внутренний адрес подсети-сервера, 171.16.0.39 - внешний адрес, а 191.167.1.1 - внутренний адрес прокси-сервера.
Во-первых, я установил статический маршрут на сервере подсети с помощью: ip route add 171.16.0.39 via 191.167.1.1
Вопрос 1: Нужно ли мне дополнительно явно определять такой шлюз по умолчанию? route add default gw 191.167.1.1 eth0
Или выбор внешнего адреса будет правильным подходом?
Затем я установил Masquerade в iptable прокси-сервера: iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Теперь можно пинговать с сервера подсети на прокси-сервер. Но я не могу пинговать с прокси-сервера в Интернет (например, 8.8.8.8).
Чтобы решить мою проблему, я также рассматриваю возможность установки DNAT примерно так (на прокси-сервере): iptables -t nat -A PREROUTING -d 171.16.0.39 -j DNAT --to-destination 191.167.1.2
Но не решает моих проблем. Я все еще не могу пинговать с сервера подсети в Интернет.
Вопрос 3: Нужно ли мне настраивать DNAT вместе с MASQUERADE для проверки связи в Интернете? Если да, я выбрал неправильный адрес?
Наконец, я слышал, что SNAT не требуется при наличии конфигурации MASQUERADE.
Вопрос 4: Целесообразно ли настраивать SNAT, даже если я уже установил MASQUERADE?
Я действительно не понимаю, как с этим справиться. Хотя это кажется довольно распространенной конфигурацией, мои исследования в Google за последние пару дней не помогли мне решить эту проблему.
Есть ли какие-нибудь подсказки по поводу моих вопросов?
Итак, я исправил проблему:
Как я уже догадался, мне пришлось установить отдельную запись шлюза на 191.167.1.2 с помощью: route add default gw 191.167.1.1
Теперь я подключил подсеть-сервер к www через прокси, пока MASQUERADE активен.