Перейти к содержимому
Калькуляторы

nat pool

Коллеги, дико извиняюсь что создал новый топик.

 

Подскажите, решил добавить второй ип, и натить с двух ип

 

 

ifconfig eth0:0 x.x.x.31 netmask 255.255.255.255 up

iptables -t nat -A POSTROUTING -o eth0 -s 172.16.0.0/16 -j SNAT --to-source x.x.x.30-x.x.x.31

 

начали звонить некоторые абоны, и говорить что инет не работает. В итоге все вернул.

 

iptables -F -t nat

ptables -t nat -A POSTROUTING -o eth0 -s 172.16.0.0/16 -j SNAT --to-source x.x.x.30

 

 

Что я сделал не так?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1. нафига поднимать еще один ип? проще подсеть зароутить в blackhole

2. из мира второй ип доступен вообще? не бродкаст ли это адрес вашего пиринга? :)

3. --persistent

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1. нафига поднимать еще один ип? проще подсеть зароутить в blackhole

2. из мира второй ип доступен вообще? не бродкаст ли это адрес вашего пиринга? :)

3. --persistent

Про blackhole интересно , можно подробнее . У меня есть сеть /24 , используется для nat . Сейчас добавлены алиасом на интерфейс, 254 адреса. Получается можно сеть повесить на lo0 и сроутить ? В чем преимущество?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сейчас добавлены алиасом на интерфейс, 254 адреса. Получается можно сеть повесить на lo0 и сроутить ? В чем преимущество?

Вы сами ответили на свой вопрос ))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Получается можно сеть повесить на lo0 и сроутить ?

Можно сеть вообще не вешать никуда, просто добавить роут в blackhole.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Получается можно сеть повесить на lo0 и сроутить ?

Можно сеть вообще не вешать никуда, просто добавить роут в blackhole.

 

Как это поможет нату ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

Как это поможет нату ?

Неведомый пакет (не относящийся к сессиям коннтрака) не будет слать обратно по дефолтному маршруту же, а будет дропать.

Не, можно конечно и 100500 айпишников поднять на каком-то интерфейсе - но в таком случае неведомый пакет для отсутствующей в коннтраке записи будет пытаться обрабатываться роутером. Что есть фигня.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1. нафига поднимать еще один ип? проще подсеть зароутить в blackhole

2. из мира второй ип доступен вообще? не бродкаст ли это адрес вашего пиринга? :)

3. --persistent

 

А чем отличается нат с пулом с опцией --persistent и без нее?

 

Понимаю, что с опцией --persistent один серый ип натится на один постоянный реальник.

 

А как обстоит дело, если это не делать? с одного серого ип допустимы сессии на разные белые ип(из нат пула?)?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да, и может возникнуть такая проблема - некоторые сайты (например, при просмотре видео), проверяют чтобы загрузка файла была с того же адреса, с которого она была запрошена. Если запросы от клиента будут приходить с разных адресов - работать не будет. То же касается различных игр и т.п.

Изменено пользователем avb1987

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Понимаю, что с опцией --persistent один серый ип натится на один постоянный реальник.

Да, если занатилась одна сессия на этот реальник - другие сессии с этого серого ип будут натиться на тот же реальник.

 

А как обстоит дело, если это не делать? с одного серого ип допустимы сессии на разные белые ип(из нат пула?)?

Вроде как возможны разные реальные ип. Соответственно - грабли с файлообменниками и т.п.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вопрос по blackhole. Есть реальные IP. Добавлены алиасом на бордоре для NAT.

 

Типа

$IPTABLES -t nat -A POSTROUTING -o $OUT_IFACE2 -s 172.30.0.0/24 -j SNAT --to-source 1.1.1.1
$IPTABLES -t nat -A POSTROUTING -o $OUT_IFACE2 -s 172.30.1.0/24 -j SNAT --to-source 1.1.1.2

Как правильно сроутить в blackhole?

 

Сначала поднять на lo:0 1.1.1.1/32 и lo:1 1.1.1.1/32?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я тут тоже решил проверить такой метод с lo0. У нас так же реальный IP для NAT висит в старых реализациях на NASe и bond0. Можно и на lo0 тогда не роутить и вообще ни куда не вешать IP, в iptables только править to:xxx.xxx.xxx.xxx и в accel gw-ip-address=xxx.xxx.xxx и оно работает, как так? Разве NAT не предусматривает обязательное наличие IP интерфейса с которого собственно будут идти трансляции?

 

С соседнего сервера в arp одинаковые MAC получаются :)

 

? (xxx.xxx.xxx.xxx) at 00:27:6e:f1:35:f4 on igb0 expires in 840 seconds [ethernet]
? (xxx.xxx.xxx.xxx) at 00:27:6e:f1:35:f4 on igb0 expires in 1198 seconds [ethernet]

 

Где первая запись это с NAS bond0 по старой методике NAT, а во второй записи этот IP вообще ни где не висит и не роутиться в blackhole, а прописан только в to:xxx.xxx.xxx.xxx и gw-ip-address. И с бука всё работает. Или всё таки лучше сроутить нужный IP в blackhole для того чтобы сервер необрабатывал неведомые пакеты, как выше писал NiTr0?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.