Перейти к содержимому


Фотография

Динамический NAT


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 7

#1 VasekGVG

VasekGVG

    Пользователь

  • Members
  • PipPip
  • 23 сообщений

Отправлено 20 Апрель 2015 - 20:13

каким образом сделать NAT на группу адресов. Маскарадинг прячет LAN за одним IP. Как включить НАТ на диаппазон адресов, который бы динамически перебирался?



#2 VasekGVG

VasekGVG

    Пользователь

  • Members
  • PipPip
  • 23 сообщений

Отправлено 05 Май 2015 - 14:23

тут есть кто живой?



#3 Inlarion

Inlarion

    Администратор

  • Administrators
  • 336 сообщений
  • LocationЧелябинск

Отправлено 13 Май 2015 - 16:42

Никак! 10 белых адресов значит 10 интерфейсов (VLAN, ethernet не важно) десять правил маскарадинга и т.д. 


Суровый Челябинский сисадмин :)

#4 Tok

Tok

    Новичок

  • Banned
  • Pip
  • 4 сообщений

Отправлено 03 Декабрь 2015 - 09:23

Чего это не как ?  Кто-то читает подсказки что микротик выбрасывает на "?"  !?
 

/ip firewall nat> add chain=srcnat action=src-nat to-addresses=

ToAddresses ::= A.B.C.D[-A.B.C.D |0..32 |/A.B.C.D ]    (IP address range)

И информация с доки по iptables Linux

 

 


 

SNAT (Source Network Address Translation) — работает аналогично MASQUERADE, однако позволяет указать адрес «внешнего» интерфейса (опция --to-source). Такой подход позволяет экономить процессорное время шлюза, так как в случае с MASQUERADE для каждого пакета адрес внешнего интерфейса определяется заново. Таким образом, если в предыдущем примере внешний адрес шлюза 208.77.188.166 является статическим (то есть никогда не меняется), команду

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

целесообразно заменить на

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 208.77.188.166

Однако, в случае, если внешний адрес шлюза динамический, то есть меняется в начале каждой новой сессии, правильнее будет использовать именно MASQUERADE.

Дополнительно, если на внешнем интерфейсе шлюза «висит» несколько статических адресов, например, 208.77.188.166, 208.77.188.167 и 208.77.188.168, можно использовать балансировку между этими адресами:

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 208.77.188.166-208.77.188.168

Теперь для каждого нового соединения адрес для подмены будет выбираться случайным образом.



#5 Inlarion

Inlarion

    Администратор

  • Administrators
  • 336 сообщений
  • LocationЧелябинск

Отправлено 04 Декабрь 2015 - 17:12

А вот так, сами то пробовали свое правило? В контакт или на ютюб потом заходили? Соответствие внешних и внутренних адресов устанавливается корректно?

Про алгоритмы распределения нагрузки по каналам почитайте - вам станет ясно почему рвет трафик. И сравнивать ROS и Linux просто нет смысла, то что нормально работает на линуксе, на микротике только теоретически работает, чего только стоят корявые ipsec, ovpn, packing, PCC и пр. вещи у которых работает лишь половина функционала. 


Суровый Челябинский сисадмин :)

#6 Inlarion

Inlarion

    Администратор

  • Administrators
  • 336 сообщений
  • LocationЧелябинск

Отправлено 09 Декабрь 2015 - 15:03

Бред, соединение установленное через один белый ip, будет работать только используя этот ip (пакеты из одного соединения будут использовать один IP, до завершения сеанса  )  

 

"Соединения" а не "сеанса пользователя под своим адресом". А соединений пользователь инициировать может сколько угодно или сколько задано правилом, если таковое имеет место. Исходя из этого - каждое новое соединение от одного и того же пользователя будет под разными адресами, что из этого выйдет итак понятно.

 

 

Конечно, за этим следит conntrack в ядре  ROS

В рамках одного соединения.

 

Цитату из документации можно? Что там читать?  Я и так знаю как работает  "распределения нагрузки по каналам". И я не понимаю почему должен  рвать трафик.
Прошу предоставить пруфы, или разъеснить.
А то посылать "почитайте - вам станет ясно"  все могут.  Факты в студию! как говорится.

Можно. http://wiki.mikrotik...wiki/Manual:PCC Ставите в продакшн на центральный NAS с активными абонентами, включаете, выслушиваете по телефону жалобы абонентов. Думаете и понимаете что очень плохо ЗНАЕТЕ как работает "распределения нагрузки по каналам" раз не поняли сразу о чем речь.

 

 

А вы батенька отделите мухи от котлет. Ядро ROS - это и есть чистый Linux (внутри которого работает фаервол). А  корявые ovpn и другое сервисное ПО которое работает внутри как часть состава системы ROS, не относится к ядру линукс самого ROS. 

Отделяю специально для вас. "Ядро ROS - это и есть чистый Linux" - вы перевернули мой мир! Я думал что ROS построен на неведомой ***чей хе***, а оказывается вон оно чё.

А то другое сервисное ПО что и есть на самом деле ROS - "некая прокладка между линуксом и пользователем". Так вот вы откройте терминалку и вбейте туда свой пример с iptabels. Не прокатило? Прокладка мешает? Так это все от того что вот эти ваши:

/ip firewall nat> add chain=srcnat action=src-nat to-addresses= ToAddresses ::= A.B.C.D[-A.B.C.D |0..32 |/A.B.C.D ] (IP address range)

Реализуются с помощью iptables, но через прокладку которую вы назвали сервисным ПО и подчиняется всем корявым глюкам прокладки, напрямую доступа к линуксу у вас нет и никогда не будет.

Так что ваши примеры с iptables тут мимо.

 

И вообще, вы видимо ресурсом ошиблись, тут холивар никогда не прокатывал, вы вводите людей в заблуждение, вас поправляют - вы холиварите.

Тут приветствуется помощь людям, основанная на собственном опыте, а не ссылках на то как должно быть в теории. В теории много чего должно работать, но к сожалению не судьба. И как бы доказывать вам что то никто не собирается, не устраивает - идите холиварить на другие ресурсы.

 

Хотя можете и поспорить - поставьте свое правило на реальную систему с введенными напрямую белыми адресами и парой сотен абонентов, выключите маскарадинг и попробуйте пройти авторизацию вконтакте, посмотреть видео на ютюбе, зайти клиент-банком или webmoney keeper и сделать платеж. Все быстро встанет на свои места.


Суровый Челябинский сисадмин :)

#7 VasekGVG

VasekGVG

    Пользователь

  • Members
  • PipPip
  • 23 сообщений

Отправлено 25 Март 2016 - 19:04

сделал вот так 

add action=src-nat chain=srcnat out-interface="WAN" \
    per-connection-classifier=src-address:8/0 src-address=10.11.0.0/16 \
    to-addresses=1.1.1.88
add action=src-nat chain=srcnat out-interface="WAN" \
    per-connection-classifier=src-address:8/1 src-address=10.11.0.0/16 \
    to-addresses=1.1.1.89
add action=src-nat chain=srcnat out-interface="WAN" \
    per-connection-classifier=src-address:8/2 src-address=10.11.0.0/16 \
    to-addresses=1.1.1.90
add action=src-nat chain=srcnat out-interface="WAN" \
    per-connection-classifier=src-address:8/3 src-address=10.11.0.0/16 \
    to-addresses=1.1.1.91
add action=src-nat chain=srcnat out-interface="WAN" \
    per-connection-classifier=src-address:8/4 src-address=10.11.0.0/16 \
    to-addresses=1.1.1.92
add action=src-nat chain=srcnat out-interface="WAN" \
    per-connection-classifier=src-address:8/5 src-address=10.11.0.0/16 \
    to-addresses=1.1.1.93
add action=src-nat chain=srcnat out-interface="WAN" \
    per-connection-classifier=src-address:8/6 src-address=10.11.0.0/16 \
    to-addresses=1.1.1.94
add action=src-nat chain=srcnat out-interface="WAN" \
    per-connection-classifier=src-address:8/7 src-address=10.11.0.0/16 \
    to-addresses=1.1.1.95
 
 
10.11.0.0/16 подсеть клиентов 
1.1.1.88/29 реальные IP
месяца 3 полет нормальный жалоб не было 


#8 turim

turim

    Новичок

  • Members
  • Pip
  • 1 сообщений

Отправлено 03 Сентябрь 2016 - 08:05

каким образом сделать NAT на группу адресов. Маскарадинг прячет LAN за одним IP. Как включить НАТ на диаппазон адресов, который бы динамически перебирался?

 

На роутере ведь автоматически настраивается, и распределяется по портам.

восстановление зрения63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у
63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у
63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у
63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у
63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у
63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у
63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у63у






Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных