Симметричный NAT

kww · November 25, 2011

Добрый день сообществу.

Подскажите пожалуйста симметричный NAT 1-to-1 в Linux ? а конкретно в CentOS ?

Хочется иметь 1:1 нат для отдельных IP. StateLess NAT как-то все туманно очень, возникает проблема со всякими ftp, ipsec и прочим...

Кто что может подсказать по этой теме, прошу прошения тема заезжена, но все-же.

Edited November 25, 2011 by kww

Abram · November 26, 2011

Что-то похоже сделано в lISG.

Там все просто, вроде такого (10.20.30.40 - внутренний, соответственно 1.2.3.4 - внешний):

iptables -s 10.20.30.40 -j SNAT --to 1.2.3.4
iptables -d 1.2.3.4 -j DNAT --to 10.20.30.40

Stateless бестолковый.

Других вариантов нет.

passer · November 26, 2011

Stateless бестолковый.

Не понял. Вы смогли разобраться, как к этому коню подходить?

Abram · November 27, 2011

Stateless бестолковый.
Не понял. Вы смогли разобраться, как к этому коню подходить?

Stateless NAT тупо меняет source/destination, без всяких условий, без conntrack и nat helper-ов.

Проблема в том, что при таком подходе ломается великое множество протоколов (ftp, ipsec, sip...).

Если где-то нужно такой сделать - оно делается через iproute.

Edited November 27, 2011 by Abram

C@T · November 27, 2011

Вы смогли разобраться, как к этому коню подходить?

А чего к нему подходить? )

вот работающий пример:

tc qdisc add dev eth0 ingress
tc qdisc add dev eth1 ingress

tc filter add dev eth0 parent ffff: protocol ip prio 10 u32 match ip src 10.10.10.10 action nat egress 10.10.10.10/32 32.xx.xx.2
tc filter add dev eth1 parent ffff: protocol ip prio 10 u32 match ip dst 32.xx.xx.2 action nat ingress 32.xx.xx.2/32 10.10.10.10

В сочетании с хеш-фильтрами было бы идеальное решение (не надо тратить ресурсы на tracking),

Но из-за упомянутых Abram'ом недостатков интерес у меня к нему упал...

Edited November 27, 2011 by C@T

Sign In

Симметричный NAT

Recommended Posts

kww

Abram

passer

Abram

C@T

Join the conversation