borus099 Posted October 12, 2016 Здравствуйте, имеется следующая конфигурация: Тестовый ПК с установленной linux ubuntu 14.04, 3 сетевые карты. eth0 = 50.50.50.50 ---- реальный IP адрес выдан нам провайдером, интернет от него мы получаем по bgp eth1 = 190.190.190.190/23 ---- реальный IP адрес из нашей (AS) автономной сети. eth2 = 192.168.10.1/24 ---- IP адрес для подключения к интернету локальных компьютеров. Интернет на сервере работает. Если подключится к интерфейсу eth1 с локального компьютера и назначить себе один из адресов нашей AS например 190.190.190.100, то интернет будет работать, и из вне будет виден по адресу 190.190.190.100. Вопрос в следующем, как настроить NAT для локальный компьютеров чтоб в интернет они выходили под адресом 190.190.190.190 (eth1) ?. NAT работает для локальных клиентов только если натить их на интерфейс eth0, и в сеть они выходят под адресом 50.50.50.50 (eth0) что не есть хорошо. Ногами сильно не пинайте. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
smelnik Posted October 12, 2016 Можно повесить 190.190.190.190/32 на lo и натить на него. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
borus099 Posted October 12, 2016 Можно повесить 190.190.190.190/32 на lo и натить на него. спасибо Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NiTr0 Posted October 12, 2016 можно натить на него даже если не вешать... хотя правильнее ессно повесить ип. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zi_rus Posted October 13, 2016 хотя правильнее ессно повесить ип не согласен. правильнее не вешать, но и с повешенным будет работать создается nat pool и идет нат в него, его потом можно расширить при необходимости Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
stalker86 Posted October 13, 2016 Уху. Только в этом случае каждый разнат будет в разный IP из этого пула. От Чего не будет работать тот же сбербанк и ещё много чего Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SABRE Posted October 13, 2016 Можно повесить 190.190.190.190/32 на lo и натить на него. Можно вообще его нигде не вешать. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
bos9 Posted October 13, 2016 главное заблэкхолить не забыть ;) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
smelnik Posted October 13, 2016 Уху. Только в этом случае каждый разнат будет в разный IP из этого пула. От Чего не будет работать тот же сбербанк и ещё много чего --persistent вроде как решает проблему. не согласен. правильнее не вешать, но и с повешенным будет работать Я сейчас делаю так - добавляю нужные ip на lo, делаю ip r a <IP> blackhole, в iptables -j SNAT --persistent Выходит, ip на lo можно не вешать? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kayot Posted October 13, 2016 --persistent вроде как решает проблему. Точно решает. Если машина выполняет функции и NAT и бордера - вешать адреса не нужно, они и так смаршрутизированы на эту машину. В случае отдельного NAT-бокса таки да, надо или адреса на интерфейсы вешать, или подсети маршрутизировать на этот бокс. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zi_rus Posted October 13, 2016 Я сейчас делаю так - добавляю нужные ip на lo, делаю ip r a <IP> blackhole, в iptables -j SNAT --persistent Выходит, ip на lo можно не вешать? Я промахнулся, думал тема про циску :) Но вы можете не аешать, я разрешаю :D Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
smelnik Posted October 13, 2016 В общем я понял - два варианта и все работают: 1. Олдскул - ip вешаем. 2. Хипстерский - ip не вешаем :)) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SABRE Posted October 13, 2016 главное заблэкхолить не забыть ;) +1 В общем я понял - два варианта и все работают: 1. Олдскул - ip вешаем. 2. Хипстерский - ip не вешаем :)) 1. ip вешаем 2. ip не вешаем) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
borus099 Posted October 13, 2016 Что значит заблекхолить? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NiTr0 Posted October 13, 2016 роут в null... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...