Jump to content

nat pool

zlolotus
 Share

Recommended Posts

zlolotus

zlolotus

Posted
Posted

Коллеги, дико извиняюсь что создал новый топик.

 

Подскажите, решил добавить второй ип, и натить с двух ип

 

 

ifconfig eth0:0 x.x.x.31 netmask 255.255.255.255 up

iptables -t nat -A POSTROUTING -o eth0 -s 172.16.0.0/16 -j SNAT --to-source x.x.x.30-x.x.x.31

 

начали звонить некоторые абоны, и говорить что инет не работает. В итоге все вернул.

 

iptables -F -t nat

ptables -t nat -A POSTROUTING -o eth0 -s 172.16.0.0/16 -j SNAT --to-source x.x.x.30

 

 

Что я сделал не так?

NiTr0

NiTr0

Posted
Posted

1. нафига поднимать еще один ип? проще подсеть зароутить в blackhole

2. из мира второй ип доступен вообще? не бродкаст ли это адрес вашего пиринга? :)

3. --persistent

roysbike

roysbike

Posted
Posted

1. нафига поднимать еще один ип? проще подсеть зароутить в blackhole

2. из мира второй ип доступен вообще? не бродкаст ли это адрес вашего пиринга? :)

3. --persistent

Про blackhole интересно , можно подробнее . У меня есть сеть /24 , используется для nat . Сейчас добавлены алиасом на интерфейс, 254 адреса. Получается можно сеть повесить на lo0 и сроутить ? В чем преимущество?

pppoetest

pppoetest

Posted
Posted

Сейчас добавлены алиасом на интерфейс, 254 адреса. Получается можно сеть повесить на lo0 и сроутить ? В чем преимущество?

Вы сами ответили на свой вопрос ))

hsvt

hsvt

Posted
Posted

Получается можно сеть повесить на lo0 и сроутить ?

Можно сеть вообще не вешать никуда, просто добавить роут в blackhole.

 

Как это поможет нату ?

NiTr0

NiTr0

Posted
Posted

 

Как это поможет нату ?

Неведомый пакет (не относящийся к сессиям коннтрака) не будет слать обратно по дефолтному маршруту же, а будет дропать.

Не, можно конечно и 100500 айпишников поднять на каком-то интерфейсе - но в таком случае неведомый пакет для отсутствующей в коннтраке записи будет пытаться обрабатываться роутером. Что есть фигня.

  • 2 weeks later...
zlolotus

zlolotus

Posted
  • Author
Posted

1. нафига поднимать еще один ип? проще подсеть зароутить в blackhole

2. из мира второй ип доступен вообще? не бродкаст ли это адрес вашего пиринга? :)

3. --persistent

 

А чем отличается нат с пулом с опцией --persistent и без нее?

 

Понимаю, что с опцией --persistent один серый ип натится на один постоянный реальник.

 

А как обстоит дело, если это не делать? с одного серого ип допустимы сессии на разные белые ип(из нат пула?)?

avb1987

avb1987

Posted
Posted (edited)

Да, и может возникнуть такая проблема - некоторые сайты (например, при просмотре видео), проверяют чтобы загрузка файла была с того же адреса, с которого она была запрошена. Если запросы от клиента будут приходить с разных адресов - работать не будет. То же касается различных игр и т.п.

Edited by avb1987
NiTr0

NiTr0

Posted
Posted

Понимаю, что с опцией --persistent один серый ип натится на один постоянный реальник.

Да, если занатилась одна сессия на этот реальник - другие сессии с этого серого ип будут натиться на тот же реальник.

 

А как обстоит дело, если это не делать? с одного серого ип допустимы сессии на разные белые ип(из нат пула?)?

Вроде как возможны разные реальные ип. Соответственно - грабли с файлообменниками и т.п.

  • 2 weeks later...
roysbike

roysbike

Posted
Posted

Вопрос по blackhole. Есть реальные IP. Добавлены алиасом на бордоре для NAT.

 

Типа

$IPTABLES -t nat -A POSTROUTING -o $OUT_IFACE2 -s 172.30.0.0/24 -j SNAT --to-source 1.1.1.1
$IPTABLES -t nat -A POSTROUTING -o $OUT_IFACE2 -s 172.30.1.0/24 -j SNAT --to-source 1.1.1.2

Как правильно сроутить в blackhole?

 

Сначала поднять на lo:0 1.1.1.1/32 и lo:1 1.1.1.1/32?

  • 1 month later...
hsvt

hsvt

Posted
Posted

Я тут тоже решил проверить такой метод с lo0. У нас так же реальный IP для NAT висит в старых реализациях на NASe и bond0. Можно и на lo0 тогда не роутить и вообще ни куда не вешать IP, в iptables только править to:xxx.xxx.xxx.xxx и в accel gw-ip-address=xxx.xxx.xxx и оно работает, как так? Разве NAT не предусматривает обязательное наличие IP интерфейса с которого собственно будут идти трансляции?

 

С соседнего сервера в arp одинаковые MAC получаются :)

 

? (xxx.xxx.xxx.xxx) at 00:27:6e:f1:35:f4 on igb0 expires in 840 seconds [ethernet]
? (xxx.xxx.xxx.xxx) at 00:27:6e:f1:35:f4 on igb0 expires in 1198 seconds [ethernet]

 

Где первая запись это с NAS bond0 по старой методике NAT, а во второй записи этот IP вообще ни где не висит и не роутиться в blackhole, а прописан только в to:xxx.xxx.xxx.xxx и gw-ip-address. И с бука всё работает. Или всё таки лучше сроутить нужный IP в blackhole для того чтобы сервер необрабатывал неведомые пакеты, как выше писал NiTr0?

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.