[borus099]

Здравствуйте, имеется следующая конфигурация:

 

Тестовый ПК с установленной linux ubuntu 14.04, 3 сетевые карты.

 

eth0 = 50.50.50.50 ---- реальный IP адрес выдан нам провайдером, интернет от него мы получаем по bgp

eth1 = 190.190.190.190/23 ---- реальный IP адрес из нашей (AS) автономной сети.

eth2 = 192.168.10.1/24 ---- IP адрес для подключения к интернету локальных компьютеров.

 

Интернет на сервере работает.

 

Если подключится к интерфейсу eth1 с локального компьютера и назначить себе один из адресов нашей AS например 190.190.190.100, то интернет будет работать, и из вне будет виден по адресу 190.190.190.100.

 

Вопрос в следующем, как настроить NAT для локальный компьютеров чтоб в интернет они выходили под адресом 190.190.190.190 (eth1) ?.

NAT работает для локальных клиентов только если натить их на интерфейс eth0, и в сеть они выходят под адресом 50.50.50.50 (eth0) что не есть хорошо.

 

Ногами сильно не пинайте.

[smelnik]

Можно повесить 190.190.190.190/32 на lo и натить на него.

[borus099]

Можно повесить 190.190.190.190/32 на lo и натить на него.

 

спасибо

[NiTr0]

можно натить на него даже если не вешать... хотя правильнее ессно повесить ип.

[zi_rus]

хотя правильнее ессно повесить ип

не согласен. правильнее не вешать, но и с повешенным будет работать

создается nat pool и идет нат в него, его потом можно расширить при необходимости

[stalker86]

Уху. Только в этом случае каждый разнат будет в разный IP из этого пула. От Чего не будет работать тот же сбербанк и ещё много чего

[SABRE]

Можно повесить 190.190.190.190/32 на lo и натить на него.

Можно вообще его нигде не вешать.

[bos9]

главное заблэкхолить не забыть ;)

[smelnik]

Уху. Только в этом случае каждый разнат будет в разный IP из этого пула. От Чего не будет работать тот же сбербанк и ещё много чего

--persistent вроде как решает проблему.

 

не согласен. правильнее не вешать, но и с повешенным будет работать

Я сейчас делаю так - добавляю нужные ip на lo, делаю ip r a <IP> blackhole, в iptables -j SNAT --persistent

Выходит, ip на lo можно не вешать?

[kayot]

--persistent вроде как решает проблему.

Точно решает.

Если машина выполняет функции и NAT и бордера - вешать адреса не нужно, они и так смаршрутизированы на эту машину.

В случае отдельного NAT-бокса таки да, надо или адреса на интерфейсы вешать, или подсети маршрутизировать на этот бокс.

[zi_rus]

Я сейчас делаю так - добавляю нужные ip на lo, делаю ip r a <IP> blackhole, в iptables -j SNAT --persistent

Выходит, ip на lo можно не вешать?

Я промахнулся, думал тема про циску :)

Но вы можете не аешать, я разрешаю :D

[smelnik]

В общем я понял - два варианта и все работают:

1. Олдскул - ip вешаем.

2. Хипстерский - ip не вешаем :))

[SABRE]

главное заблэкхолить не забыть ;)

+1

В общем я понял - два варианта и все работают:

1. Олдскул - ip вешаем.

2. Хипстерский - ip не вешаем :))

1. ip вешаем

2. ip не вешаем)

[borus099]

Что значит заблекхолить?

[NiTr0]

роут в null...