Ivan Rostovikov Posted July 2, 2009 Posted July 2, 2009 linux 2.6.29 modprobe ip_conntrack modprobe ip_conntrack_ftp modprobe iptable_nat modprobe ip_nat_ftp modprobe ip_nat_irc modprobe ip_nat_h323 modprobe ip_nat_sip modprobe ip_nat_pptp iptables -t nat -A POSTROUTING -s 10.0.0.0/8 --out-interface eth0 -j SNAT --to-source 94.157.128.1-94.157.128.254 В результате на хостах 10.0.0.0/8 странички (веб) открываются но ICQ не работает. Что делаю не так ? Как еще можно "натить" целой подсеткой адресов ? Вставить ник Quote
DemYaN Posted July 3, 2009 Posted July 3, 2009 для различных соединений берется разный IP для NAT из пула, из-за этого и проблема Вставить ник Quote
Ivan Rostovikov Posted July 3, 2009 Author Posted July 3, 2009 Это я понял. Можно ли ее решить средствами linux ? Вставить ник Quote
DemYaN Posted July 3, 2009 Posted July 3, 2009 раньше решалось с помощью SAME target, потом ее убрали из ядра (~2.6.25), народ естественно начал возмущаться и обещали вернуть.... вот только вернули иль нет - не знаю, по крайне мере в 2.6.28 нет у меня NAT разведен по подсетям: -s 10.1.4.0/22 -j SNAT --to-source xxx.xxx.xxx.xx1 -s 10.1.8.0/22 -j SNAT --to-source xxx.xxx.xxx.xx2 Вставить ник Quote
nuclearcat Posted July 3, 2009 Posted July 3, 2009 вроде в 2.6.30 добавили, но "по другому", в SNAT добавили опцию, соотв надо заапить iptables Детали навскидку не скажу, надо смотреть Вставить ник Quote
Ivan Rostovikov Posted July 6, 2009 Author Posted July 6, 2009 Можно подробнее ? Где найти информацию ? Вставить ник Quote
DemYaN Posted July 6, 2009 Posted July 6, 2009 (edited) Оно? http://www.netfilter.org/projects/iptables...ables-1.4.4.txt .... Patrick McHardy (3): SNAT/DNAT: add support for persistent multi-range NAT mappings Merge branch 'stable' of git://dev.medozas.de/iptables Bump version .... Edited July 6, 2009 by DemYaN Вставить ник Quote
Ivan Rostovikov Posted July 7, 2009 Author Posted July 7, 2009 (edited) ага. оно собрал: ядро 2.6.30.1 iptables iptables-1.4.4 Делаю iptables -t nat -A POSTROUTING -s 10.0.0.0/8 --out-interface eth0 -j SNAT --to-source 94.157.128.1-94.157.128.254 И о чудо ! теперь рождаются "правельные" трансляции. На 1 хост из подсети 10.0.0.0/8 всегда приходится 1 хост из подсети 94.157.128.0/24 И номера портов совпадают. Далее делаю iptables -t nat -A POSTROUTING -s 10.0.0.0/8 --out-interface eth0 -j SNAT --to-source 94.157.128.1-94.157.128.254 --persistent И еще интереснее. На каждую пару src-dst приходится 1 хост из подсети 94.157.128.0/24 (номера портов совпадают) О как ! Какую траву они курят, когда придумывают все это ? Edited July 7, 2009 by Ivan Rostovikov Вставить ник Quote
XLighter Posted July 9, 2009 Posted July 9, 2009 Если адресов, в которые надо натить, немного, то можно сделать эквивалент SAME через SNAT так: -m u32 --u32 0xc&0xf=0x0 -j SNAT --to-source A.B.C.D -m u32 --u32 0xc&0xf=0x1 -j SNAT --to-source A.B.C.D+1 и т.п. Вставить ник Quote
Ivan Rostovikov Posted July 9, 2009 Author Posted July 9, 2009 Адресов много. (подсеть /21) Сейчас на новом ядре получил, более-менее приемлемый результат. Но хочется "Full Cone NAT". Гугленье плодов не приносит. :-( Может кто встречал реализации на linux ? Вставить ник Quote
nuclearcat Posted July 9, 2009 Posted July 9, 2009 вам статический NAT ip в ip? это через iproute, и даже conntrack не нужен Вставить ник Quote
Ivan Rostovikov Posted July 9, 2009 Author Posted July 9, 2009 Грубо говоря: Есть 6К абонентов и 2К реальных адресов. Все 6К одновременно в инет не ходят. Максимум 1500-2000. Идея в том, что бы имеющимися 2К реальных IP "прикрывать" всех "онлайн" абонентов. И так, что б входящие соединения приходили (для торрентов и voip полезно). Если абонент отключился ,после некого таймаута реальный IP высвобождается. Вставить ник Quote
disappointed Posted July 9, 2009 Posted July 9, 2009 А для чего вообще тогда делать нат, если можно просто выдать ему прямо на туннель адрес? Динамически. Вставить ник Quote
Ivan Rostovikov Posted July 9, 2009 Author Posted July 9, 2009 Так и знал, что к этому сведется. Да, конечно так и надо. Но сеть уже рабочая, есть причины. Немогу сейчас так делать. Биллинг менять придется, а это тоже не просто. Вот и пришла идея обойтись НАТом. Вставить ник Quote
nuclearcat Posted July 9, 2009 Posted July 9, 2009 Частенько торрентам и прочим это не помогает, зависит от способа как они смотрят ip Вставить ник Quote
disappointed Posted July 9, 2009 Posted July 9, 2009 Но сеть уже рабочая, есть причины. А как реализован доступ? Туннели? Почему такое нежелание сделать красиво, сеть останется рабочей :) Вставить ник Quote
Ivan Rostovikov Posted July 9, 2009 Author Posted July 9, 2009 IMHO это не слишком важно, но расскажу. Чистый PPPoE. (без локалки) Т.е. весь трафик через BRASы. + немного "юриков" на своих vlan-ах. NetUp UTM. Так издревле повелось, что услуги PPPoE привязывались не как dial-up, а как IPN. И теперь есть проблема с динамической раздачей. UTM неумеет как мне хочется. В общем готов рассмотреть любые варианты Full Cone NAT. Желательно на *nix Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.