zlolotus Posted September 19, 2015 · Report post Коллеги, дико извиняюсь что создал новый топик. Подскажите, решил добавить второй ип, и натить с двух ип ifconfig eth0:0 x.x.x.31 netmask 255.255.255.255 up iptables -t nat -A POSTROUTING -o eth0 -s 172.16.0.0/16 -j SNAT --to-source x.x.x.30-x.x.x.31 начали звонить некоторые абоны, и говорить что инет не работает. В итоге все вернул. iptables -F -t nat ptables -t nat -A POSTROUTING -o eth0 -s 172.16.0.0/16 -j SNAT --to-source x.x.x.30 Что я сделал не так? Share this post Link to post Share on other sites
NiTr0 Posted September 19, 2015 · Report post 1. нафига поднимать еще один ип? проще подсеть зароутить в blackhole 2. из мира второй ип доступен вообще? не бродкаст ли это адрес вашего пиринга? :) 3. --persistent Share this post Link to post Share on other sites
roysbike Posted September 19, 2015 · Report post 1. нафига поднимать еще один ип? проще подсеть зароутить в blackhole 2. из мира второй ип доступен вообще? не бродкаст ли это адрес вашего пиринга? :) 3. --persistent Про blackhole интересно , можно подробнее . У меня есть сеть /24 , используется для nat . Сейчас добавлены алиасом на интерфейс, 254 адреса. Получается можно сеть повесить на lo0 и сроутить ? В чем преимущество? Share this post Link to post Share on other sites
pppoetest Posted September 19, 2015 · Report post Сейчас добавлены алиасом на интерфейс, 254 адреса. Получается можно сеть повесить на lo0 и сроутить ? В чем преимущество? Вы сами ответили на свой вопрос )) Share this post Link to post Share on other sites
NiTr0 Posted September 19, 2015 · Report post Получается можно сеть повесить на lo0 и сроутить ? Можно сеть вообще не вешать никуда, просто добавить роут в blackhole. Share this post Link to post Share on other sites
Macro Posted September 19, 2015 · Report post Маска 255.255.255.255 вас не смущает? Share this post Link to post Share on other sites
hsvt Posted September 20, 2015 · Report post Получается можно сеть повесить на lo0 и сроутить ? Можно сеть вообще не вешать никуда, просто добавить роут в blackhole. Как это поможет нату ? Share this post Link to post Share on other sites
NiTr0 Posted September 20, 2015 · Report post Как это поможет нату ? Неведомый пакет (не относящийся к сессиям коннтрака) не будет слать обратно по дефолтному маршруту же, а будет дропать. Не, можно конечно и 100500 айпишников поднять на каком-то интерфейсе - но в таком случае неведомый пакет для отсутствующей в коннтраке записи будет пытаться обрабатываться роутером. Что есть фигня. Share this post Link to post Share on other sites
zlolotus Posted October 4, 2015 · Report post 1. нафига поднимать еще один ип? проще подсеть зароутить в blackhole 2. из мира второй ип доступен вообще? не бродкаст ли это адрес вашего пиринга? :) 3. --persistent А чем отличается нат с пулом с опцией --persistent и без нее? Понимаю, что с опцией --persistent один серый ип натится на один постоянный реальник. А как обстоит дело, если это не делать? с одного серого ип допустимы сессии на разные белые ип(из нат пула?)? Share this post Link to post Share on other sites
avb1987 Posted October 4, 2015 (edited) · Report post Да, и может возникнуть такая проблема - некоторые сайты (например, при просмотре видео), проверяют чтобы загрузка файла была с того же адреса, с которого она была запрошена. Если запросы от клиента будут приходить с разных адресов - работать не будет. То же касается различных игр и т.п. Edited October 4, 2015 by avb1987 Share this post Link to post Share on other sites
NiTr0 Posted October 4, 2015 · Report post Понимаю, что с опцией --persistent один серый ип натится на один постоянный реальник. Да, если занатилась одна сессия на этот реальник - другие сессии с этого серого ип будут натиться на тот же реальник. А как обстоит дело, если это не делать? с одного серого ип допустимы сессии на разные белые ип(из нат пула?)? Вроде как возможны разные реальные ип. Соответственно - грабли с файлообменниками и т.п. Share this post Link to post Share on other sites
roysbike Posted October 13, 2015 · Report post Вопрос по blackhole. Есть реальные IP. Добавлены алиасом на бордоре для NAT. Типа $IPTABLES -t nat -A POSTROUTING -o $OUT_IFACE2 -s 172.30.0.0/24 -j SNAT --to-source 1.1.1.1 $IPTABLES -t nat -A POSTROUTING -o $OUT_IFACE2 -s 172.30.1.0/24 -j SNAT --to-source 1.1.1.2 Как правильно сроутить в blackhole? Сначала поднять на lo:0 1.1.1.1/32 и lo:1 1.1.1.1/32? Share this post Link to post Share on other sites
NiTr0 Posted October 13, 2015 · Report post ip route add blackhole 1.1.1.1/32 Share this post Link to post Share on other sites
hsvt Posted November 20, 2015 · Report post Я тут тоже решил проверить такой метод с lo0. У нас так же реальный IP для NAT висит в старых реализациях на NASe и bond0. Можно и на lo0 тогда не роутить и вообще ни куда не вешать IP, в iptables только править to:xxx.xxx.xxx.xxx и в accel gw-ip-address=xxx.xxx.xxx и оно работает, как так? Разве NAT не предусматривает обязательное наличие IP интерфейса с которого собственно будут идти трансляции? С соседнего сервера в arp одинаковые MAC получаются :) ? (xxx.xxx.xxx.xxx) at 00:27:6e:f1:35:f4 on igb0 expires in 840 seconds [ethernet] ? (xxx.xxx.xxx.xxx) at 00:27:6e:f1:35:f4 on igb0 expires in 1198 seconds [ethernet] Где первая запись это с NAS bond0 по старой методике NAT, а во второй записи этот IP вообще ни где не висит и не роутиться в blackhole, а прописан только в to:xxx.xxx.xxx.xxx и gw-ip-address. И с бука всё работает. Или всё таки лучше сроутить нужный IP в blackhole для того чтобы сервер необрабатывал неведомые пакеты, как выше писал NiTr0? Share this post Link to post Share on other sites
