Jump to content
Калькуляторы

nat pool

Reply to this topic

zlolotus   

zlolotus
Posted

Коллеги, дико извиняюсь что создал новый топик.

 

Подскажите, решил добавить второй ип, и натить с двух ип

 

 

ifconfig eth0:0 x.x.x.31 netmask 255.255.255.255 up

iptables -t nat -A POSTROUTING -o eth0 -s 172.16.0.0/16 -j SNAT --to-source x.x.x.30-x.x.x.31

 

начали звонить некоторые абоны, и говорить что инет не работает. В итоге все вернул.

 

iptables -F -t nat

ptables -t nat -A POSTROUTING -o eth0 -s 172.16.0.0/16 -j SNAT --to-source x.x.x.30

 

 

Что я сделал не так?

Share this post

Link to post
Share on other sites

NiTr0   

NiTr0
Posted

1. нафига поднимать еще один ип? проще подсеть зароутить в blackhole

2. из мира второй ип доступен вообще? не бродкаст ли это адрес вашего пиринга? :)

3. --persistent

Share this post

Link to post
Share on other sites

roysbike   

roysbike
Posted

1. нафига поднимать еще один ип? проще подсеть зароутить в blackhole

2. из мира второй ип доступен вообще? не бродкаст ли это адрес вашего пиринга? :)

3. --persistent

Про blackhole интересно , можно подробнее . У меня есть сеть /24 , используется для nat . Сейчас добавлены алиасом на интерфейс, 254 адреса. Получается можно сеть повесить на lo0 и сроутить ? В чем преимущество?

Share this post

Link to post
Share on other sites

pppoetest   

pppoetest
Posted

Сейчас добавлены алиасом на интерфейс, 254 адреса. Получается можно сеть повесить на lo0 и сроутить ? В чем преимущество?

Вы сами ответили на свой вопрос ))

Share this post

Link to post
Share on other sites

NiTr0   

NiTr0
Posted

Получается можно сеть повесить на lo0 и сроутить ?

Можно сеть вообще не вешать никуда, просто добавить роут в blackhole.

Share this post

Link to post
Share on other sites

hsvt   

hsvt
Posted

Получается можно сеть повесить на lo0 и сроутить ?

Можно сеть вообще не вешать никуда, просто добавить роут в blackhole.

 

Как это поможет нату ?

Share this post

Link to post
Share on other sites

NiTr0   

NiTr0
Posted

 

Как это поможет нату ?

Неведомый пакет (не относящийся к сессиям коннтрака) не будет слать обратно по дефолтному маршруту же, а будет дропать.

Не, можно конечно и 100500 айпишников поднять на каком-то интерфейсе - но в таком случае неведомый пакет для отсутствующей в коннтраке записи будет пытаться обрабатываться роутером. Что есть фигня.

Share this post

Link to post
Share on other sites

zlolotus   

zlolotus
Posted

1. нафига поднимать еще один ип? проще подсеть зароутить в blackhole

2. из мира второй ип доступен вообще? не бродкаст ли это адрес вашего пиринга? :)

3. --persistent

 

А чем отличается нат с пулом с опцией --persistent и без нее?

 

Понимаю, что с опцией --persistent один серый ип натится на один постоянный реальник.

 

А как обстоит дело, если это не делать? с одного серого ип допустимы сессии на разные белые ип(из нат пула?)?

Share this post

Link to post
Share on other sites

avb1987   

avb1987
Posted (edited)

Да, и может возникнуть такая проблема - некоторые сайты (например, при просмотре видео), проверяют чтобы загрузка файла была с того же адреса, с которого она была запрошена. Если запросы от клиента будут приходить с разных адресов - работать не будет. То же касается различных игр и т.п.

Edited by avb1987

Share this post

Link to post
Share on other sites

NiTr0   

NiTr0
Posted

Понимаю, что с опцией --persistent один серый ип натится на один постоянный реальник.

Да, если занатилась одна сессия на этот реальник - другие сессии с этого серого ип будут натиться на тот же реальник.

 

А как обстоит дело, если это не делать? с одного серого ип допустимы сессии на разные белые ип(из нат пула?)?

Вроде как возможны разные реальные ип. Соответственно - грабли с файлообменниками и т.п.

Share this post

Link to post
Share on other sites

roysbike   

roysbike
Posted

Вопрос по blackhole. Есть реальные IP. Добавлены алиасом на бордоре для NAT.

 

Типа

$IPTABLES -t nat -A POSTROUTING -o $OUT_IFACE2 -s 172.30.0.0/24 -j SNAT --to-source 1.1.1.1
$IPTABLES -t nat -A POSTROUTING -o $OUT_IFACE2 -s 172.30.1.0/24 -j SNAT --to-source 1.1.1.2

Как правильно сроутить в blackhole?

 

Сначала поднять на lo:0 1.1.1.1/32 и lo:1 1.1.1.1/32?

Share this post

Link to post
Share on other sites

hsvt   

hsvt
Posted

Я тут тоже решил проверить такой метод с lo0. У нас так же реальный IP для NAT висит в старых реализациях на NASe и bond0. Можно и на lo0 тогда не роутить и вообще ни куда не вешать IP, в iptables только править to:xxx.xxx.xxx.xxx и в accel gw-ip-address=xxx.xxx.xxx и оно работает, как так? Разве NAT не предусматривает обязательное наличие IP интерфейса с которого собственно будут идти трансляции?

 

С соседнего сервера в arp одинаковые MAC получаются :)

 

? (xxx.xxx.xxx.xxx) at 00:27:6e:f1:35:f4 on igb0 expires in 840 seconds [ethernet]
? (xxx.xxx.xxx.xxx) at 00:27:6e:f1:35:f4 on igb0 expires in 1198 seconds [ethernet]

 

Где первая запись это с NAS bond0 по старой методике NAT, а во второй записи этот IP вообще ни где не висит и не роутиться в blackhole, а прописан только в to:xxx.xxx.xxx.xxx и gw-ip-address. И с бука всё работает. Или всё таки лучше сроутить нужный IP в blackhole для того чтобы сервер необрабатывал неведомые пакеты, как выше писал NiTr0?

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Программное обеспечение, биллинг и *unix системы