zlolotus Опубликовано 19 сентября, 2015 · Жалоба Коллеги, дико извиняюсь что создал новый топик. Подскажите, решил добавить второй ип, и натить с двух ип ifconfig eth0:0 x.x.x.31 netmask 255.255.255.255 up iptables -t nat -A POSTROUTING -o eth0 -s 172.16.0.0/16 -j SNAT --to-source x.x.x.30-x.x.x.31 начали звонить некоторые абоны, и говорить что инет не работает. В итоге все вернул. iptables -F -t nat ptables -t nat -A POSTROUTING -o eth0 -s 172.16.0.0/16 -j SNAT --to-source x.x.x.30 Что я сделал не так? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 19 сентября, 2015 · Жалоба 1. нафига поднимать еще один ип? проще подсеть зароутить в blackhole 2. из мира второй ип доступен вообще? не бродкаст ли это адрес вашего пиринга? :) 3. --persistent Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roysbike Опубликовано 19 сентября, 2015 · Жалоба 1. нафига поднимать еще один ип? проще подсеть зароутить в blackhole 2. из мира второй ип доступен вообще? не бродкаст ли это адрес вашего пиринга? :) 3. --persistent Про blackhole интересно , можно подробнее . У меня есть сеть /24 , используется для nat . Сейчас добавлены алиасом на интерфейс, 254 адреса. Получается можно сеть повесить на lo0 и сроутить ? В чем преимущество? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 19 сентября, 2015 · Жалоба Сейчас добавлены алиасом на интерфейс, 254 адреса. Получается можно сеть повесить на lo0 и сроутить ? В чем преимущество? Вы сами ответили на свой вопрос )) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 19 сентября, 2015 · Жалоба Получается можно сеть повесить на lo0 и сроутить ? Можно сеть вообще не вешать никуда, просто добавить роут в blackhole. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Macro Опубликовано 19 сентября, 2015 · Жалоба Маска 255.255.255.255 вас не смущает? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 20 сентября, 2015 · Жалоба Получается можно сеть повесить на lo0 и сроутить ? Можно сеть вообще не вешать никуда, просто добавить роут в blackhole. Как это поможет нату ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 20 сентября, 2015 · Жалоба Как это поможет нату ? Неведомый пакет (не относящийся к сессиям коннтрака) не будет слать обратно по дефолтному маршруту же, а будет дропать. Не, можно конечно и 100500 айпишников поднять на каком-то интерфейсе - но в таком случае неведомый пакет для отсутствующей в коннтраке записи будет пытаться обрабатываться роутером. Что есть фигня. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zlolotus Опубликовано 4 октября, 2015 · Жалоба 1. нафига поднимать еще один ип? проще подсеть зароутить в blackhole 2. из мира второй ип доступен вообще? не бродкаст ли это адрес вашего пиринга? :) 3. --persistent А чем отличается нат с пулом с опцией --persistent и без нее? Понимаю, что с опцией --persistent один серый ип натится на один постоянный реальник. А как обстоит дело, если это не делать? с одного серого ип допустимы сессии на разные белые ип(из нат пула?)? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
avb1987 Опубликовано 4 октября, 2015 (изменено) · Жалоба Да, и может возникнуть такая проблема - некоторые сайты (например, при просмотре видео), проверяют чтобы загрузка файла была с того же адреса, с которого она была запрошена. Если запросы от клиента будут приходить с разных адресов - работать не будет. То же касается различных игр и т.п. Изменено 4 октября, 2015 пользователем avb1987 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 4 октября, 2015 · Жалоба Понимаю, что с опцией --persistent один серый ип натится на один постоянный реальник. Да, если занатилась одна сессия на этот реальник - другие сессии с этого серого ип будут натиться на тот же реальник. А как обстоит дело, если это не делать? с одного серого ип допустимы сессии на разные белые ип(из нат пула?)? Вроде как возможны разные реальные ип. Соответственно - грабли с файлообменниками и т.п. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
roysbike Опубликовано 13 октября, 2015 · Жалоба Вопрос по blackhole. Есть реальные IP. Добавлены алиасом на бордоре для NAT. Типа $IPTABLES -t nat -A POSTROUTING -o $OUT_IFACE2 -s 172.30.0.0/24 -j SNAT --to-source 1.1.1.1 $IPTABLES -t nat -A POSTROUTING -o $OUT_IFACE2 -s 172.30.1.0/24 -j SNAT --to-source 1.1.1.2 Как правильно сроутить в blackhole? Сначала поднять на lo:0 1.1.1.1/32 и lo:1 1.1.1.1/32? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 13 октября, 2015 · Жалоба ip route add blackhole 1.1.1.1/32 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
hsvt Опубликовано 20 ноября, 2015 · Жалоба Я тут тоже решил проверить такой метод с lo0. У нас так же реальный IP для NAT висит в старых реализациях на NASe и bond0. Можно и на lo0 тогда не роутить и вообще ни куда не вешать IP, в iptables только править to:xxx.xxx.xxx.xxx и в accel gw-ip-address=xxx.xxx.xxx и оно работает, как так? Разве NAT не предусматривает обязательное наличие IP интерфейса с которого собственно будут идти трансляции? С соседнего сервера в arp одинаковые MAC получаются :) ? (xxx.xxx.xxx.xxx) at 00:27:6e:f1:35:f4 on igb0 expires in 840 seconds [ethernet] ? (xxx.xxx.xxx.xxx) at 00:27:6e:f1:35:f4 on igb0 expires in 1198 seconds [ethernet] Где первая запись это с NAS bond0 по старой методике NAT, а во второй записи этот IP вообще ни где не висит и не роутиться в blackhole, а прописан только в to:xxx.xxx.xxx.xxx и gw-ip-address. И с бука всё работает. Или всё таки лучше сроутить нужный IP в blackhole для того чтобы сервер необрабатывал неведомые пакеты, как выше писал NiTr0? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...