borus099 Опубликовано 12 октября, 2016 Здравствуйте, имеется следующая конфигурация: Тестовый ПК с установленной linux ubuntu 14.04, 3 сетевые карты. eth0 = 50.50.50.50 ---- реальный IP адрес выдан нам провайдером, интернет от него мы получаем по bgp eth1 = 190.190.190.190/23 ---- реальный IP адрес из нашей (AS) автономной сети. eth2 = 192.168.10.1/24 ---- IP адрес для подключения к интернету локальных компьютеров. Интернет на сервере работает. Если подключится к интерфейсу eth1 с локального компьютера и назначить себе один из адресов нашей AS например 190.190.190.100, то интернет будет работать, и из вне будет виден по адресу 190.190.190.100. Вопрос в следующем, как настроить NAT для локальный компьютеров чтоб в интернет они выходили под адресом 190.190.190.190 (eth1) ?. NAT работает для локальных клиентов только если натить их на интерфейс eth0, и в сеть они выходят под адресом 50.50.50.50 (eth0) что не есть хорошо. Ногами сильно не пинайте. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
smelnik Опубликовано 12 октября, 2016 Можно повесить 190.190.190.190/32 на lo и натить на него. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
borus099 Опубликовано 12 октября, 2016 Можно повесить 190.190.190.190/32 на lo и натить на него. спасибо Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 12 октября, 2016 можно натить на него даже если не вешать... хотя правильнее ессно повесить ип. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 13 октября, 2016 хотя правильнее ессно повесить ип не согласен. правильнее не вешать, но и с повешенным будет работать создается nat pool и идет нат в него, его потом можно расширить при необходимости Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stalker86 Опубликовано 13 октября, 2016 Уху. Только в этом случае каждый разнат будет в разный IP из этого пула. От Чего не будет работать тот же сбербанк и ещё много чего Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SABRE Опубликовано 13 октября, 2016 Можно повесить 190.190.190.190/32 на lo и натить на него. Можно вообще его нигде не вешать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bos9 Опубликовано 13 октября, 2016 главное заблэкхолить не забыть ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
smelnik Опубликовано 13 октября, 2016 Уху. Только в этом случае каждый разнат будет в разный IP из этого пула. От Чего не будет работать тот же сбербанк и ещё много чего --persistent вроде как решает проблему. не согласен. правильнее не вешать, но и с повешенным будет работать Я сейчас делаю так - добавляю нужные ip на lo, делаю ip r a <IP> blackhole, в iptables -j SNAT --persistent Выходит, ip на lo можно не вешать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kayot Опубликовано 13 октября, 2016 --persistent вроде как решает проблему. Точно решает. Если машина выполняет функции и NAT и бордера - вешать адреса не нужно, они и так смаршрутизированы на эту машину. В случае отдельного NAT-бокса таки да, надо или адреса на интерфейсы вешать, или подсети маршрутизировать на этот бокс. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 13 октября, 2016 Я сейчас делаю так - добавляю нужные ip на lo, делаю ip r a <IP> blackhole, в iptables -j SNAT --persistent Выходит, ip на lo можно не вешать? Я промахнулся, думал тема про циску :) Но вы можете не аешать, я разрешаю :D Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
smelnik Опубликовано 13 октября, 2016 В общем я понял - два варианта и все работают: 1. Олдскул - ip вешаем. 2. Хипстерский - ip не вешаем :)) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SABRE Опубликовано 13 октября, 2016 главное заблэкхолить не забыть ;) +1 В общем я понял - два варианта и все работают: 1. Олдскул - ip вешаем. 2. Хипстерский - ip не вешаем :)) 1. ip вешаем 2. ip не вешаем) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
borus099 Опубликовано 13 октября, 2016 Что значит заблекхолить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 13 октября, 2016 роут в null... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...