Jump to content
Калькуляторы

nat pool

Коллеги, дико извиняюсь что создал новый топик.

 

Подскажите, решил добавить второй ип, и натить с двух ип

 

 

ifconfig eth0:0 x.x.x.31 netmask 255.255.255.255 up

iptables -t nat -A POSTROUTING -o eth0 -s 172.16.0.0/16 -j SNAT --to-source x.x.x.30-x.x.x.31

 

начали звонить некоторые абоны, и говорить что инет не работает. В итоге все вернул.

 

iptables -F -t nat

ptables -t nat -A POSTROUTING -o eth0 -s 172.16.0.0/16 -j SNAT --to-source x.x.x.30

 

 

Что я сделал не так?

Share this post


Link to post
Share on other sites

1. нафига поднимать еще один ип? проще подсеть зароутить в blackhole

2. из мира второй ип доступен вообще? не бродкаст ли это адрес вашего пиринга? :)

3. --persistent

Share this post


Link to post
Share on other sites

1. нафига поднимать еще один ип? проще подсеть зароутить в blackhole

2. из мира второй ип доступен вообще? не бродкаст ли это адрес вашего пиринга? :)

3. --persistent

Про blackhole интересно , можно подробнее . У меня есть сеть /24 , используется для nat . Сейчас добавлены алиасом на интерфейс, 254 адреса. Получается можно сеть повесить на lo0 и сроутить ? В чем преимущество?

Share this post


Link to post
Share on other sites

Сейчас добавлены алиасом на интерфейс, 254 адреса. Получается можно сеть повесить на lo0 и сроутить ? В чем преимущество?

Вы сами ответили на свой вопрос ))

Share this post


Link to post
Share on other sites

Получается можно сеть повесить на lo0 и сроутить ?

Можно сеть вообще не вешать никуда, просто добавить роут в blackhole.

Share this post


Link to post
Share on other sites

Получается можно сеть повесить на lo0 и сроутить ?

Можно сеть вообще не вешать никуда, просто добавить роут в blackhole.

 

Как это поможет нату ?

Share this post


Link to post
Share on other sites

 

Как это поможет нату ?

Неведомый пакет (не относящийся к сессиям коннтрака) не будет слать обратно по дефолтному маршруту же, а будет дропать.

Не, можно конечно и 100500 айпишников поднять на каком-то интерфейсе - но в таком случае неведомый пакет для отсутствующей в коннтраке записи будет пытаться обрабатываться роутером. Что есть фигня.

Share this post


Link to post
Share on other sites

1. нафига поднимать еще один ип? проще подсеть зароутить в blackhole

2. из мира второй ип доступен вообще? не бродкаст ли это адрес вашего пиринга? :)

3. --persistent

 

А чем отличается нат с пулом с опцией --persistent и без нее?

 

Понимаю, что с опцией --persistent один серый ип натится на один постоянный реальник.

 

А как обстоит дело, если это не делать? с одного серого ип допустимы сессии на разные белые ип(из нат пула?)?

Share this post


Link to post
Share on other sites

Да, и может возникнуть такая проблема - некоторые сайты (например, при просмотре видео), проверяют чтобы загрузка файла была с того же адреса, с которого она была запрошена. Если запросы от клиента будут приходить с разных адресов - работать не будет. То же касается различных игр и т.п.

Edited by avb1987

Share this post


Link to post
Share on other sites

Понимаю, что с опцией --persistent один серый ип натится на один постоянный реальник.

Да, если занатилась одна сессия на этот реальник - другие сессии с этого серого ип будут натиться на тот же реальник.

 

А как обстоит дело, если это не делать? с одного серого ип допустимы сессии на разные белые ип(из нат пула?)?

Вроде как возможны разные реальные ип. Соответственно - грабли с файлообменниками и т.п.

Share this post


Link to post
Share on other sites

Вопрос по blackhole. Есть реальные IP. Добавлены алиасом на бордоре для NAT.

 

Типа

$IPTABLES -t nat -A POSTROUTING -o $OUT_IFACE2 -s 172.30.0.0/24 -j SNAT --to-source 1.1.1.1
$IPTABLES -t nat -A POSTROUTING -o $OUT_IFACE2 -s 172.30.1.0/24 -j SNAT --to-source 1.1.1.2

Как правильно сроутить в blackhole?

 

Сначала поднять на lo:0 1.1.1.1/32 и lo:1 1.1.1.1/32?

Share this post


Link to post
Share on other sites

Я тут тоже решил проверить такой метод с lo0. У нас так же реальный IP для NAT висит в старых реализациях на NASe и bond0. Можно и на lo0 тогда не роутить и вообще ни куда не вешать IP, в iptables только править to:xxx.xxx.xxx.xxx и в accel gw-ip-address=xxx.xxx.xxx и оно работает, как так? Разве NAT не предусматривает обязательное наличие IP интерфейса с которого собственно будут идти трансляции?

 

С соседнего сервера в arp одинаковые MAC получаются :)

 

? (xxx.xxx.xxx.xxx) at 00:27:6e:f1:35:f4 on igb0 expires in 840 seconds [ethernet]
? (xxx.xxx.xxx.xxx) at 00:27:6e:f1:35:f4 on igb0 expires in 1198 seconds [ethernet]

 

Где первая запись это с NAS bond0 по старой методике NAT, а во второй записи этот IP вообще ни где не висит и не роутиться в blackhole, а прописан только в to:xxx.xxx.xxx.xxx и gw-ip-address. И с бука всё работает. Или всё таки лучше сроутить нужный IP в blackhole для того чтобы сервер необрабатывал неведомые пакеты, как выше писал NiTr0?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this