[zlobar]

Предисловие: С недавних пор имеем два канала Интернет, два bgp пира, свой PI блок.

Небольшой части наших клиентов не хватило белых айпи, сидят за натом (freebsd ipnat).

 

map bge1 A.A.A.A/16 -> B.B.B.B/32 proxy port ftp/tcp

map bge1 A.A.A.A/16 -> B.B.B.B/32 portmap tcp/udp M:N

map bge1 A.A.A.A/16 -> B.B.B.B/32

 

map bge2 A.A.A.A/16 -> B.B.B.B/32 proxy port ftp/tcp

map bge2 A.A.A.A/16 -> B.B.B.B/32 portmap tcp/udp M:N

map bge2 A.A.A.A/16 -> B.B.B.B/32

 

B.B.B.B - IP адрес из нашего PI-блока.

 

Проблема: некоторый трафик "туда" уходит по одному каналу,

возращается по второму, ipnat его не признает. Соотвественно

некоторые ресурсы клиентам недоступны. Кое-что удалось

поправить средствами BGP (препендами), но далеко не все.

 

Вопрос: можно ли "образумить" ipnat, или надо переходить на другой?

[Ivan Rostovikov]

Выносите нат на машину до бордера.

[sirmax]

насколько я могу судить, это глобальная проблема с натом и ассиметрией.

[zlobar]

насколько я могу судить, это глобальная проблема с натом и ассиметрией.

т.е. и с pfnat, и с ng_nat будет такая же "картина маслом" ?

 

Выносите нат на машину до бордера.

Собственно это и планируем сделать,

просто было интересно какие варианты возможны еще.

Изменено 17 января, 2009 пользователем zlobar

[IvanI]

NG_NATу пофиг, в него пакеты пихаются фаерволом, в прочем наверно как и любому другому, в случае если пакеты в нат отправляются фаерволом