# NAT und Proxmox



## vikozo (5. Dez. 2014)

hallo
kann mir jemand helfen. 
http://forum.proxmox.com/threads/20382-Proxmox-Firewall-for-NAT?p=103929#post103929
es geht um NAT und Proxmox.
danke für eure Hilfe, im Proxmox bekommt man nicht eine bestätigung, kann es jemand bestätigen?
gruss
vincent


----------



## F4RR3LL (6. Dez. 2014)

Das is mir zu denglisch, hab grad versucht den Thread zu lesen. 
So ganz grob schnall ich was Du willst, aber so richtig dann doch nicht.
Das Networkmodell von Dietmar sagt ja eigentlich wie man mit NAT arbeiten kann, wo ist nun genau dein Problem?

Gruß Sven


----------



## vikozo (8. Dez. 2014)

Hallo Sven


> auto vmbr2
> iface vmbr2 inet static
> address 10.147.42.193
> netmask 255.255.255.192
> ...


nun einerseits die Frage, ob ich auch nur einen Teil einer C klasse NATen kann '10.147.42.192/26'
das andere wäre bei post-up und post-down ist von einem eth0 die rede, ich habe eth0 und eth1 zu einm Bond1 zusammengeschlossen, somit die frage ob ich einfach das eth0 mit bond1 ersetzen kann.
Vielen Dank für ein Feedback, tut mir leid das es am Mut fehlt es einfach zu konfigurieren ;-)
gruss
Vinc


----------



## vikozo (8. Dez. 2014)

und wenn es soweit gut ist wäre die Frage.
wenn ich mehrere, vom Internet ansprechbare Server habe, wie gebe ich es im ISPConfig ein?
gruss
Vinc


----------



## F4RR3LL (9. Dez. 2014)

Also ich hab schon oft Proxmox mit NAT Routing betrieben, das läuft eigentlich einwandfrei. 
Du kannst ne komplette IP/Range via NAT routen, eigentlich sinnlos, aber machbar, oder eben nur eine externe IP via NAT die Ports auf mehrere Server aufteilen, wenn nur eine IP vorhanden ist extern. Was ist dein Ziel der Natterei?
Ich versuch mich da grade reinzudenken wie Du es genau haben willst. 

Zu den mehreren Servern, reden wir hier vom Multiserversetup?

Gruß Sven


----------



## vikozo (9. Dez. 2014)

Hallo Sven
ich habe nur eine IP Adresse und die "klaue" ich auch von meiner Fritzbox und leite diese, bisher, zu meine Laptop auf dem ISPconfig seit über einem Jahr Läuft. Nun habe ich eine neue Hardware und möchte ein paar virtualisierte Server haben.
auf einem sicher ISPConfig und dann die Homepage zügeln
aber dann auch noch auf einem Server Owncloud
und auch Kolab aufsetzen
----
des weiteren habe ich einen Samba Server für zuhause,  und auch eine PXE server mit DHCP dieser sollte nicht von aussen erreichbar sein.
Darum die die unterteilung der IP Range.
die Verbindung mit Bridge und Bond ist hier grafisch dargestellt! wobei mit NAT ich nicht mehr IPv6 unbedingt brauche....
gruss
Vinc


----------



## F4RR3LL (9. Dez. 2014)

ok Du hast also intern beliebige IPs, jeder Port kann aber aufgrund der einmaligen externen IP nur einmal genutzt werden.
Dann würde ich das Nat Routing in der Art schreiben:

```
#!/bin/sh
IPTABLES="/sbin/iptables"
#loesche alle Regeln
$IPTABLES -t nat --flush
# Routing VM1
# 10.0.0.1
# damit der VServer nach aussen kommunizieren kann:
$IPTABLES -t nat -A POSTROUTING -s 10.0.0.1 -o eth0 -j SNAT --to $deine_externe_ip
# 10.0.0.1:10022 frei schalten fuer SSH Kommunikation
$IPTABLES -t nat -A PREROUTING -p tcp -d $deine_externe_ip --dport 10122 -i eth0 -j DNAT --to-destination 10.0.0.1:10122
#####################################################################
# Routing VM2
# 10.0.0.2
# damit der VServer nach aussen kommunizieren kann:
$IPTABLES -t nat -A POSTROUTING -s 10.0.0.2 -o eth0 -j SNAT --to $deine_externe_ip
# 10.0.0.2:10023 frei schalten fuer SSH Kommunikation
$IPTABLES -t nat -A PREROUTING -p tcp -d $deine_externe_ip --dport 10123 -i eth0 -j DNAT --to-destination 10.0.0.2:10123
# 10.0.0.2:80 frei schalten fuer HTTP Kommunikation
$IPTABLES -t nat -A PREROUTING -p tcp -d $deine_externe_ip --dport 80 -i eth0 -j DNAT --to-destination 10.0.0.2:80
#####################################################################
# Routing VM3
# 10.0.0.3
# damit der VServer nach aussen kommunizieren kann:
$IPTABLES -t nat -A POSTROUTING -s 10.0.0.4 -o eth0 -j SNAT --to $deine_externe_ip
# 10.0.0.2:10024 frei schalten fuer SSH Kommunikation
$IPTABLES -t nat -A PREROUTING -p tcp -d $deine_externe_ip --dport 10124 -i eth0 -j DNAT --to-destination 10.0.0.2:10124
```
Eingehend ist also immer der jeweilige Port einer internen IP direkt zugewiesen, aber nach extern darf jede interne IP auf beliebigem Port antworten.

Gruß Sven

//Edit: zu deinem verlinkten Screen:
"your partner for network design und webdesign" ..ich würd mich auf eine Sprach festlegen


----------

