Jump to content

Помогите с notrack

myth
 Share

Recommended Posts

myth

myth

Posted
Posted (edited)

Всем привет. Есть у нас 3 /24 сети реальных IP и 2 /24 серых. Приоритетно абонентам выдаются IP из белых диапазонов. Тем, кому реальных IP не хватило выдаются серые IP. Натятся они с помощью -j NETMAP на подсеть реальных ip. Плюс к этому - сервер с личным кабинетом так же висит за натом(на ip NAS). Можно ли как-то в этих условиях отказаться от трекинга соединений на белых подсетях? Сам уже всю голову поломал, адекватного решения не вижу.

Edited by myth
kayot

kayot

Posted
Posted

Можно и нужно, для этого и нужен -j NOTRACK :)

80 порт трекаем(нужен для редиректа должников), остальное нет.

Если нужно натить куда-то - аналогично accept трафик на этот IP и обратно. 8080 у меня порт куда редиректятся должники для заглушки.

*raw
# пускаем реальные адреса мимо системного трассировщика кроме 25 и 80 порта(нужен nat)
-A PREROUTING -i ppp+ -s xx.xx.xx.xx/xx -p tcp --dport 80 -j ACCEPT
-A PREROUTING -i ppp+ -s xx.xx.xx.xx/xx -j NOTRACK

# то же с обратной стороны
-A PREROUTING -i bond0.2 -d xx.xx.xx.xx/xx -s xx.xx.xx.19 -p tcp --sport 8080 -j ACCEPT
-A PREROUTING -i bond0.2 -d xx.xx.xx.xx/xx -p tcp --sport 80 -j ACCEPT
-A PREROUTING -i bond0.2 -d xx.xx.xx.xx/xx -j NOTRACK

myth

myth

Posted
  • Author
Posted (edited)

А как же -j NETMAP? Просто разрешить обмен пакетами между серой сетью и белой? bond0 в этом примере - интерфейс аплинка?

Edited by myth
myth

myth

Posted
  • Author
Posted (edited)

А кто-то заставляет?

Netmap'у указать не натить сервые-белые.

Это iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -j NETMAP --to 62.xx.xx.0/24 ,которое сейчас и работает

Edited by myth
g3fox

g3fox

Posted
Posted

iptables -t raw -A PREROUTING -s my_white -d my_gray -j ACCEPT

iptables -t raw -A PREROUTING -d my_white -s my_gray -j ACCEPT

iptables -t raw -A PREROUTING -s my_gray -j ACCEPT

iptables -t raw -A PREROUTING -s my_white -j NOTRACK

 

так что ли?

kayot

kayot

Posted
Posted

Погоди. Так тебе NAT надо делать или нет?

Вроде разговор был про белые адреса.

Если для них нужно NATить какой-то порт или одиночный IP - добавьте accept перед notrack что б этот трафик отслеживать.

myth

myth

Posted
  • Author
Posted (edited)

Есть белые, есть серые. Нужно сделать notrack так, чтобы у серых все работало. Натится в серые посредством NETMAP в POSTROUTING с /24 маской.

Edited by myth

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.