Назад | Перейти на главную страницу

DNAT для подключения подсети через прокси к Интернету

DNAT для подключения подсети через прокси к Интернету

Я хочу подключить сервер в подсети к Интернету через прокси-сервер. Но я не могу пинговать хост в Интернете (www). Фактически подсеть-сервер и прокси-сервер используют общий выделенный сервер (виртуализация с докером). Есть две сетевые карты (eth0 для прокси-сервера и t39 для подсети-сервера). Итак, общий план выглядит так:

Интернет <==> 171.16.0.39 | 191.167.1.1 <==> 191.167.1.2

191.167.1.2 - это внутренний адрес подсети-сервера, 171.16.0.39 - внешний адрес, а 191.167.1.1 - внутренний адрес прокси-сервера.

Во-первых, я установил статический маршрут на сервере подсети с помощью: ip route add 171.16.0.39 via 191.167.1.1

Вопрос 1: Нужно ли мне дополнительно явно определять такой шлюз по умолчанию? route add default gw 191.167.1.1 eth0 Или выбор внешнего адреса будет правильным подходом?

Затем я установил Masquerade в iptable прокси-сервера: iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Теперь можно пинговать с сервера подсети на прокси-сервер. Но я не могу пинговать с прокси-сервера в Интернет (например, 8.8.8.8).

Чтобы решить мою проблему, я также рассматриваю возможность установки DNAT примерно так (на прокси-сервере): iptables -t nat -A PREROUTING -d 171.16.0.39 -j DNAT --to-destination 191.167.1.2

Но не решает моих проблем. Я все еще не могу пинговать с сервера подсети в Интернет.

Вопрос 3: Нужно ли мне настраивать DNAT вместе с MASQUERADE для проверки связи в Интернете? Если да, я выбрал неправильный адрес?

Наконец, я слышал, что SNAT не требуется при наличии конфигурации MASQUERADE.

Вопрос 4: Целесообразно ли настраивать SNAT, даже если я уже установил MASQUERADE?

Я действительно не понимаю, как с этим справиться. Хотя это кажется довольно распространенной конфигурацией, мои исследования в Google за последние пару дней не помогли мне решить эту проблему.

Есть ли какие-нибудь подсказки по поводу моих вопросов?

Итак, я исправил проблему:

Как я уже догадался, мне пришлось установить отдельную запись шлюза на 191.167.1.2 с помощью: route add default gw 191.167.1.1

Теперь я подключил подсеть-сервер к www через прокси, пока MASQUERADE активен.