[vAnza]

Всем привет!

 

Есть в аренде 16к внешних адресов. Люди ходят в Интернет через NAT. Есть задумка, каждому клиенту при выходе в Интернет назначать белый айпишник. Но т.к. общее число ip меньше чем общее число клиентов, хочется сделать это динамически. В связи с этим, хочется услышать мнения: стоит ли вообще заморачиватся с этим? Как отследить момент на нате, когда юзер хочет установить соединение? И какие нужны ресурсы, чтобы потянуть ну пусть 10000х2 правил в iptables одновременно?

[t0ly]

жесть

 

 

а просто выдать клиентам реальные адреса не получится? в чём смысл вообще сего деяния?

[Nickuz]

Всем привет!

 

Есть в аренде 16к внешних адресов. Но т.к. общее число ip меньше чем общее число клиентов, хочется сделать это динамически.

У вас 16 к клиентов будут одновременно?

[Nic]

Как отследить момент на нате, когда юзер хочет установить соединение?

Это зачем?

НАТ можно переписать таким образом, чтоб делал однозначное соответствие внутренний-внешний, без замены портов. Также в линухе есть -j NETMAP, но хз, как он себя поведет при разных размерах внутреннего и внешнего пулов, хотя есть подозрение, что пока внешний пул не кончится, все будет ок.

[vAnza]

Отвечаю на все вопросы:

2t0ly Просто раздать внешние айпишники клиентов не выйдет, ибо их меньше чем клиентов, но намного больше чем подсетей

2Nickuz Нет, не 16к, но вечером половина точно.

2Nic Это нужно для того, что бы белые ip освобождались. Т.е. будет скриптик, который будет добавлять и удалять правила на нате

 

Мне тут идею подкинули, binat в pf, но это нужно переходить на BSD. Кто что скажет?

[EvilShadow]

Вы бы хоть указали, каким образом клиенты подключаются - половины вопросов не возникло бы. Только перечитав весь тред, понял, что ВПНа нет.