Ivan Rostovikov Опубликовано 2 июля, 2009 · Жалоба linux 2.6.29 modprobe ip_conntrack modprobe ip_conntrack_ftp modprobe iptable_nat modprobe ip_nat_ftp modprobe ip_nat_irc modprobe ip_nat_h323 modprobe ip_nat_sip modprobe ip_nat_pptp iptables -t nat -A POSTROUTING -s 10.0.0.0/8 --out-interface eth0 -j SNAT --to-source 94.157.128.1-94.157.128.254 В результате на хостах 10.0.0.0/8 странички (веб) открываются но ICQ не работает. Что делаю не так ? Как еще можно "натить" целой подсеткой адресов ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stelsik Опубликовано 2 июля, 2009 · Жалоба SAME nodst Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Rostovikov Опубликовано 3 июля, 2009 · Жалоба а по русски ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DemYaN Опубликовано 3 июля, 2009 · Жалоба для различных соединений берется разный IP для NAT из пула, из-за этого и проблема Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Rostovikov Опубликовано 3 июля, 2009 · Жалоба Это я понял. Можно ли ее решить средствами linux ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DemYaN Опубликовано 3 июля, 2009 · Жалоба раньше решалось с помощью SAME target, потом ее убрали из ядра (~2.6.25), народ естественно начал возмущаться и обещали вернуть.... вот только вернули иль нет - не знаю, по крайне мере в 2.6.28 нет у меня NAT разведен по подсетям: -s 10.1.4.0/22 -j SNAT --to-source xxx.xxx.xxx.xx1 -s 10.1.8.0/22 -j SNAT --to-source xxx.xxx.xxx.xx2 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 3 июля, 2009 · Жалоба вроде в 2.6.30 добавили, но "по другому", в SNAT добавили опцию, соотв надо заапить iptables Детали навскидку не скажу, надо смотреть Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Rostovikov Опубликовано 6 июля, 2009 · Жалоба Можно подробнее ? Где найти информацию ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DemYaN Опубликовано 6 июля, 2009 (изменено) · Жалоба Оно? http://www.netfilter.org/projects/iptables...ables-1.4.4.txt .... Patrick McHardy (3): SNAT/DNAT: add support for persistent multi-range NAT mappings Merge branch 'stable' of git://dev.medozas.de/iptables Bump version .... Изменено 6 июля, 2009 пользователем DemYaN Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Rostovikov Опубликовано 7 июля, 2009 (изменено) · Жалоба ага. оно собрал: ядро 2.6.30.1 iptables iptables-1.4.4 Делаю iptables -t nat -A POSTROUTING -s 10.0.0.0/8 --out-interface eth0 -j SNAT --to-source 94.157.128.1-94.157.128.254 И о чудо ! теперь рождаются "правельные" трансляции. На 1 хост из подсети 10.0.0.0/8 всегда приходится 1 хост из подсети 94.157.128.0/24 И номера портов совпадают. Далее делаю iptables -t nat -A POSTROUTING -s 10.0.0.0/8 --out-interface eth0 -j SNAT --to-source 94.157.128.1-94.157.128.254 --persistent И еще интереснее. На каждую пару src-dst приходится 1 хост из подсети 94.157.128.0/24 (номера портов совпадают) О как ! Какую траву они курят, когда придумывают все это ? Изменено 7 июля, 2009 пользователем Ivan Rostovikov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
XLighter Опубликовано 9 июля, 2009 · Жалоба Если адресов, в которые надо натить, немного, то можно сделать эквивалент SAME через SNAT так: -m u32 --u32 0xc&0xf=0x0 -j SNAT --to-source A.B.C.D -m u32 --u32 0xc&0xf=0x1 -j SNAT --to-source A.B.C.D+1 и т.п. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Rostovikov Опубликовано 9 июля, 2009 · Жалоба Адресов много. (подсеть /21) Сейчас на новом ядре получил, более-менее приемлемый результат. Но хочется "Full Cone NAT". Гугленье плодов не приносит. :-( Может кто встречал реализации на linux ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 9 июля, 2009 · Жалоба вам статический NAT ip в ip? это через iproute, и даже conntrack не нужен Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Rostovikov Опубликовано 9 июля, 2009 · Жалоба Грубо говоря: Есть 6К абонентов и 2К реальных адресов. Все 6К одновременно в инет не ходят. Максимум 1500-2000. Идея в том, что бы имеющимися 2К реальных IP "прикрывать" всех "онлайн" абонентов. И так, что б входящие соединения приходили (для торрентов и voip полезно). Если абонент отключился ,после некого таймаута реальный IP высвобождается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
disappointed Опубликовано 9 июля, 2009 · Жалоба А для чего вообще тогда делать нат, если можно просто выдать ему прямо на туннель адрес? Динамически. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Rostovikov Опубликовано 9 июля, 2009 · Жалоба Так и знал, что к этому сведется. Да, конечно так и надо. Но сеть уже рабочая, есть причины. Немогу сейчас так делать. Биллинг менять придется, а это тоже не просто. Вот и пришла идея обойтись НАТом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 9 июля, 2009 · Жалоба Частенько торрентам и прочим это не помогает, зависит от способа как они смотрят ip Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
disappointed Опубликовано 9 июля, 2009 · Жалоба Но сеть уже рабочая, есть причины. А как реализован доступ? Туннели? Почему такое нежелание сделать красиво, сеть останется рабочей :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan Rostovikov Опубликовано 9 июля, 2009 · Жалоба IMHO это не слишком важно, но расскажу. Чистый PPPoE. (без локалки) Т.е. весь трафик через BRASы. + немного "юриков" на своих vlan-ах. NetUp UTM. Так издревле повелось, что услуги PPPoE привязывались не как dial-up, а как IPN. И теперь есть проблема с динамической раздачей. UTM неумеет как мне хочется. В общем готов рассмотреть любые варианты Full Cone NAT. Желательно на *nix Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...