Jump to content
Калькуляторы

Я туплю или ... ? linux iptables NAT icq

linux 2.6.29

 

modprobe ip_conntrack

modprobe ip_conntrack_ftp

modprobe iptable_nat

modprobe ip_nat_ftp

modprobe ip_nat_irc

modprobe ip_nat_h323

modprobe ip_nat_sip

modprobe ip_nat_pptp

 

iptables -t nat -A POSTROUTING -s 10.0.0.0/8 --out-interface eth0 -j SNAT --to-source 94.157.128.1-94.157.128.254

 

В результате на хостах 10.0.0.0/8 странички (веб) открываются но ICQ не работает.

Что делаю не так ?

Как еще можно "натить" целой подсеткой адресов ?

 

Share this post


Link to post
Share on other sites

для различных соединений берется разный IP для NAT из пула, из-за этого и проблема

 

Share this post


Link to post
Share on other sites

раньше решалось с помощью SAME target, потом ее убрали из ядра (~2.6.25), народ естественно начал возмущаться и обещали вернуть.... вот только вернули иль нет - не знаю, по крайне мере в 2.6.28 нет

 

у меня NAT разведен по подсетям:

-s 10.1.4.0/22 -j SNAT --to-source xxx.xxx.xxx.xx1

-s 10.1.8.0/22 -j SNAT --to-source xxx.xxx.xxx.xx2

 

Share this post


Link to post
Share on other sites

вроде в 2.6.30 добавили, но "по другому", в SNAT добавили опцию, соотв надо заапить iptables

Детали навскидку не скажу, надо смотреть

Share this post


Link to post
Share on other sites

Оно?

http://www.netfilter.org/projects/iptables...ables-1.4.4.txt

 

....

Patrick McHardy (3):

SNAT/DNAT: add support for persistent multi-range NAT mappings

Merge branch 'stable' of git://dev.medozas.de/iptables

Bump version

....

Edited by DemYaN

Share this post


Link to post
Share on other sites

ага. оно

собрал:

ядро 2.6.30.1

iptables iptables-1.4.4

 

Делаю iptables -t nat -A POSTROUTING -s 10.0.0.0/8 --out-interface eth0 -j SNAT --to-source 94.157.128.1-94.157.128.254

 

И о чудо ! теперь рождаются "правельные" трансляции.

На 1 хост из подсети 10.0.0.0/8 всегда приходится 1 хост из подсети 94.157.128.0/24 И номера портов совпадают.

 

Далее делаю iptables -t nat -A POSTROUTING -s 10.0.0.0/8 --out-interface eth0 -j SNAT --to-source 94.157.128.1-94.157.128.254 --persistent

 

И еще интереснее. На каждую пару src-dst приходится 1 хост из подсети 94.157.128.0/24 (номера портов совпадают)

 

О как !

Какую траву они курят, когда придумывают все это ?

Edited by Ivan Rostovikov

Share this post


Link to post
Share on other sites

Если адресов, в которые надо натить, немного, то можно сделать эквивалент SAME через SNAT так:

-m u32 --u32 0xc&0xf=0x0 -j SNAT --to-source A.B.C.D

-m u32 --u32 0xc&0xf=0x1 -j SNAT --to-source A.B.C.D+1

и т.п.

Share this post


Link to post
Share on other sites

Адресов много. (подсеть /21)

Сейчас на новом ядре получил, более-менее приемлемый результат.

Но хочется "Full Cone NAT".

Гугленье плодов не приносит. :-(

 

Может кто встречал реализации на linux ?

Share this post


Link to post
Share on other sites

вам статический NAT ip в ip? это через iproute, и даже conntrack не нужен

Share this post


Link to post
Share on other sites

Грубо говоря:

Есть 6К абонентов и 2К реальных адресов.

Все 6К одновременно в инет не ходят. Максимум 1500-2000.

Идея в том, что бы имеющимися 2К реальных IP "прикрывать" всех "онлайн" абонентов. И так, что б входящие соединения приходили (для торрентов и voip полезно).

Если абонент отключился ,после некого таймаута реальный IP высвобождается.

 

 

Share this post


Link to post
Share on other sites

А для чего вообще тогда делать нат, если можно просто выдать ему прямо на туннель адрес? Динамически.

 

Share this post


Link to post
Share on other sites

Так и знал, что к этому сведется.

Да, конечно так и надо. Но сеть уже рабочая, есть причины. Немогу сейчас так делать.

Биллинг менять придется, а это тоже не просто.

Вот и пришла идея обойтись НАТом.

Share this post


Link to post
Share on other sites

Частенько торрентам и прочим это не помогает, зависит от способа как они смотрят ip

Share this post


Link to post
Share on other sites
Но сеть уже рабочая, есть причины.

А как реализован доступ? Туннели? Почему такое нежелание сделать красиво, сеть останется рабочей :)

Share this post


Link to post
Share on other sites

IMHO это не слишком важно, но расскажу.

Чистый PPPoE. (без локалки) Т.е. весь трафик через BRASы.

+ немного "юриков" на своих vlan-ах.

NetUp UTM. Так издревле повелось, что услуги PPPoE привязывались не как dial-up, а как IPN. И теперь есть проблема с динамической раздачей. UTM неумеет как мне хочется.

 

В общем готов рассмотреть любые варианты Full Cone NAT. Желательно на *nix

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this