[myth]

Всем привет. Есть у нас 3 /24 сети реальных IP и 2 /24 серых. Приоритетно абонентам выдаются IP из белых диапазонов. Тем, кому реальных IP не хватило выдаются серые IP. Натятся они с помощью -j NETMAP на подсеть реальных ip. Плюс к этому - сервер с личным кабинетом так же висит за натом(на ip NAS). Можно ли как-то в этих условиях отказаться от трекинга соединений на белых подсетях? Сам уже всю голову поломал, адекватного решения не вижу.

Edited March 23, 2016 by myth

[kayot]

Можно и нужно, для этого и нужен -j NOTRACK :)

80 порт трекаем(нужен для редиректа должников), остальное нет.

Если нужно натить куда-то - аналогично accept трафик на этот IP и обратно. 8080 у меня порт куда редиректятся должники для заглушки.

*raw
# пускаем реальные адреса мимо системного трассировщика кроме 25 и 80 порта(нужен nat)
-A PREROUTING -i ppp+ -s xx.xx.xx.xx/xx -p tcp --dport 80 -j ACCEPT
-A PREROUTING -i ppp+ -s xx.xx.xx.xx/xx -j NOTRACK

# то же с обратной стороны
-A PREROUTING -i bond0.2 -d xx.xx.xx.xx/xx -s xx.xx.xx.19 -p tcp --sport 8080 -j ACCEPT
-A PREROUTING -i bond0.2 -d xx.xx.xx.xx/xx -p tcp --sport 80 -j ACCEPT
-A PREROUTING -i bond0.2 -d xx.xx.xx.xx/xx -j NOTRACK

[myth]

А как же -j NETMAP? Просто разрешить обмен пакетами между серой сетью и белой? bond0 в этом примере - интерфейс аплинка?

Edited March 23, 2016 by myth

[kayot]

Ну да, если нужна видимость между клиентами - просто разрешить обмен.

Netmap'у указать не натить сервые-белые.

[myth]

Но я не хочу натить 300 клиентов на 1 ip

[kayot]

А кто-то заставляет?

[myth]

А кто-то заставляет?

Netmap'у указать не натить сервые-белые.

Это iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -j NETMAP --to 62.xx.xx.0/24 ,которое сейчас и работает

Edited March 23, 2016 by myth

[g3fox]

iptables -t raw -A PREROUTING -s my_white -d my_gray -j ACCEPT

iptables -t raw -A PREROUTING -d my_white -s my_gray -j ACCEPT

iptables -t raw -A PREROUTING -s my_gray -j ACCEPT

iptables -t raw -A PREROUTING -s my_white -j NOTRACK

 

так что ли?

[kayot]

Ну если между gray и white нужен NAT - то где-то так. Если не нужен(проще маршрутизацию сделать) - и того не нужно.

[myth]

С исходящими соединениями разобрался, спасибо. Как быть с входящими?

[kayot]

Дык в первом посте,

# то же с обратной стороны

[myth]

Тогда отваливается netmap на эти адреса

[myth]

Не работает так. Интернета за натом нет. Да и логику работы без контрака не очень представляю.

Edited March 24, 2016 by myth

[kayot]

Погоди. Так тебе NAT надо делать или нет?

Вроде разговор был про белые адреса.

Если для них нужно NATить какой-то порт или одиночный IP - добавьте accept перед notrack что б этот трафик отслеживать.

[myth]

Есть белые, есть серые. Нужно сделать notrack так, чтобы у серых все работало. Натится в серые посредством NETMAP в POSTROUTING с /24 маской.

Edited March 24, 2016 by myth

[kayot]

А почему у серых неработает, если вы делаете notrack для белых? Что-то недоговариваете в схеме.

[myth]

А почему у серых неработает, если вы делаете notrack для белых? Что-то недоговариваете в схеме.

Ну блин, прочитай как NETMAP работает.

[kayot]

Удачи.