kww Опубликовано 25 ноября, 2011 (изменено) · Жалоба Добрый день сообществу. Подскажите пожалуйста симметричный NAT 1-to-1 в Linux ? а конкретно в CentOS ? Хочется иметь 1:1 нат для отдельных IP. StateLess NAT как-то все туманно очень, возникает проблема со всякими ftp, ipsec и прочим... Кто что может подсказать по этой теме, прошу прошения тема заезжена, но все-же. Изменено 25 ноября, 2011 пользователем kww Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 26 ноября, 2011 · Жалоба Что-то похоже сделано в lISG. Там все просто, вроде такого (10.20.30.40 - внутренний, соответственно 1.2.3.4 - внешний): iptables -s 10.20.30.40 -j SNAT --to 1.2.3.4 iptables -d 1.2.3.4 -j DNAT --to 10.20.30.40 Stateless бестолковый. Других вариантов нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
passer Опубликовано 26 ноября, 2011 · Жалоба Stateless бестолковый.Не понял. Вы смогли разобраться, как к этому коню подходить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Abram Опубликовано 27 ноября, 2011 (изменено) · Жалоба Stateless бестолковый.Не понял. Вы смогли разобраться, как к этому коню подходить? Stateless NAT тупо меняет source/destination, без всяких условий, без conntrack и nat helper-ов. Проблема в том, что при таком подходе ломается великое множество протоколов (ftp, ipsec, sip...). Если где-то нужно такой сделать - оно делается через iproute. Изменено 27 ноября, 2011 пользователем Abram Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
C@T Опубликовано 27 ноября, 2011 (изменено) · Жалоба Вы смогли разобраться, как к этому коню подходить? А чего к нему подходить? ) вот работающий пример: tc qdisc add dev eth0 ingress tc qdisc add dev eth1 ingress tc filter add dev eth0 parent ffff: protocol ip prio 10 u32 match ip src 10.10.10.10 action nat egress 10.10.10.10/32 32.xx.xx.2 tc filter add dev eth1 parent ffff: protocol ip prio 10 u32 match ip dst 32.xx.xx.2 action nat ingress 32.xx.xx.2/32 10.10.10.10 В сочетании с хеш-фильтрами было бы идеальное решение (не надо тратить ресурсы на tracking), Но из-за упомянутых Abram'ом недостатков интерес у меня к нему упал... Изменено 27 ноября, 2011 пользователем C@T Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...