zlolotus Posted September 19, 2015 Коллеги, дико извиняюсь что создал новый топик. Подскажите, решил добавить второй ип, и натить с двух ип ifconfig eth0:0 x.x.x.31 netmask 255.255.255.255 up iptables -t nat -A POSTROUTING -o eth0 -s 172.16.0.0/16 -j SNAT --to-source x.x.x.30-x.x.x.31 начали звонить некоторые абоны, и говорить что инет не работает. В итоге все вернул. iptables -F -t nat ptables -t nat -A POSTROUTING -o eth0 -s 172.16.0.0/16 -j SNAT --to-source x.x.x.30 Что я сделал не так? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NiTr0 Posted September 19, 2015 1. нафига поднимать еще один ип? проще подсеть зароутить в blackhole 2. из мира второй ип доступен вообще? не бродкаст ли это адрес вашего пиринга? :) 3. --persistent Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
roysbike Posted September 19, 2015 1. нафига поднимать еще один ип? проще подсеть зароутить в blackhole 2. из мира второй ип доступен вообще? не бродкаст ли это адрес вашего пиринга? :) 3. --persistent Про blackhole интересно , можно подробнее . У меня есть сеть /24 , используется для nat . Сейчас добавлены алиасом на интерфейс, 254 адреса. Получается можно сеть повесить на lo0 и сроутить ? В чем преимущество? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pppoetest Posted September 19, 2015 Сейчас добавлены алиасом на интерфейс, 254 адреса. Получается можно сеть повесить на lo0 и сроутить ? В чем преимущество? Вы сами ответили на свой вопрос )) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NiTr0 Posted September 19, 2015 Получается можно сеть повесить на lo0 и сроутить ? Можно сеть вообще не вешать никуда, просто добавить роут в blackhole. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Macro Posted September 19, 2015 Маска 255.255.255.255 вас не смущает? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
hsvt Posted September 20, 2015 Получается можно сеть повесить на lo0 и сроутить ? Можно сеть вообще не вешать никуда, просто добавить роут в blackhole. Как это поможет нату ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NiTr0 Posted September 20, 2015 Как это поможет нату ? Неведомый пакет (не относящийся к сессиям коннтрака) не будет слать обратно по дефолтному маршруту же, а будет дропать. Не, можно конечно и 100500 айпишников поднять на каком-то интерфейсе - но в таком случае неведомый пакет для отсутствующей в коннтраке записи будет пытаться обрабатываться роутером. Что есть фигня. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zlolotus Posted October 4, 2015 1. нафига поднимать еще один ип? проще подсеть зароутить в blackhole 2. из мира второй ип доступен вообще? не бродкаст ли это адрес вашего пиринга? :) 3. --persistent А чем отличается нат с пулом с опцией --persistent и без нее? Понимаю, что с опцией --persistent один серый ип натится на один постоянный реальник. А как обстоит дело, если это не делать? с одного серого ип допустимы сессии на разные белые ип(из нат пула?)? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
avb1987 Posted October 4, 2015 (edited) Да, и может возникнуть такая проблема - некоторые сайты (например, при просмотре видео), проверяют чтобы загрузка файла была с того же адреса, с которого она была запрошена. Если запросы от клиента будут приходить с разных адресов - работать не будет. То же касается различных игр и т.п. Edited October 4, 2015 by avb1987 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NiTr0 Posted October 4, 2015 Понимаю, что с опцией --persistent один серый ип натится на один постоянный реальник. Да, если занатилась одна сессия на этот реальник - другие сессии с этого серого ип будут натиться на тот же реальник. А как обстоит дело, если это не делать? с одного серого ип допустимы сессии на разные белые ип(из нат пула?)? Вроде как возможны разные реальные ип. Соответственно - грабли с файлообменниками и т.п. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
roysbike Posted October 13, 2015 Вопрос по blackhole. Есть реальные IP. Добавлены алиасом на бордоре для NAT. Типа $IPTABLES -t nat -A POSTROUTING -o $OUT_IFACE2 -s 172.30.0.0/24 -j SNAT --to-source 1.1.1.1 $IPTABLES -t nat -A POSTROUTING -o $OUT_IFACE2 -s 172.30.1.0/24 -j SNAT --to-source 1.1.1.2 Как правильно сроутить в blackhole? Сначала поднять на lo:0 1.1.1.1/32 и lo:1 1.1.1.1/32? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NiTr0 Posted October 13, 2015 ip route add blackhole 1.1.1.1/32 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
hsvt Posted November 20, 2015 Я тут тоже решил проверить такой метод с lo0. У нас так же реальный IP для NAT висит в старых реализациях на NASe и bond0. Можно и на lo0 тогда не роутить и вообще ни куда не вешать IP, в iptables только править to:xxx.xxx.xxx.xxx и в accel gw-ip-address=xxx.xxx.xxx и оно работает, как так? Разве NAT не предусматривает обязательное наличие IP интерфейса с которого собственно будут идти трансляции? С соседнего сервера в arp одинаковые MAC получаются :) ? (xxx.xxx.xxx.xxx) at 00:27:6e:f1:35:f4 on igb0 expires in 840 seconds [ethernet] ? (xxx.xxx.xxx.xxx) at 00:27:6e:f1:35:f4 on igb0 expires in 1198 seconds [ethernet] Где первая запись это с NAS bond0 по старой методике NAT, а во второй записи этот IP вообще ни где не висит и не роутиться в blackhole, а прописан только в to:xxx.xxx.xxx.xxx и gw-ip-address. И с бука всё работает. Или всё таки лучше сроутить нужный IP в blackhole для того чтобы сервер необрабатывал неведомые пакеты, как выше писал NiTr0? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...