Aplikovatelné rozdíly masquerade vs NAT

[pgb]

Rozdíly src nat vs masquerade = jeden z prezentujících na MUMu to vysvětlil vcelku jasně. Don't use masquerade everywhere. Pokud máte na WAN portu jednu ip a není dynamická, použijte src nat.

Masquerade totiž pokaždé když se sestavuje nové natovací spojení šahá do routovacích tabulek a zjišťuje, za jakou ip má vlastně překlad provést. Tahle operace je to, co zdržuje zbytečně. Pokud to máte pro domácí router je to jedno, pokud na GW pro tisíce spojení - použij src-nat.

[ludvik]

Sice si nejsem úplně jistý, zda ti rozumím ... ale na pojem výchozí brána koukáš moc "domácky". Na velkých routerech nic takového ani nebývá. A když už ji mají, tak to znamená doslova to, jak se to jmenuje. Nemá-li router v routovací tabulce záznam pro síť kam směřuje ten paket (tedy dst-address), pošle to na adresu výchozí brány.

Čili ty, pokud tam máš src-nat, tak si to vůbec v hlavě nekomplikuj, ten se toho nezúčastní (v "normálních" konfiguracích). Přijde paket z vnitřku sítě. Koukne do routovací tabulky a pošle dál ... Je mu naprosto jedno, co je ta adresa následujícího hopu zač - snad jen to, že ji musí znát, že musí být pro něj přímo dostupná. Ten následující hop udělá naprosto to samé.
Zpětný provoz je to samé. Poslední router providera ví, že cílová síť /29 je tvoje a pošle paket na tvoji "spojovačku" v síti /30. Co s takovým paketem uděláš ty je mu už jedno.

No a jak funguje traceroute? Pošle se paket na adresu co si tam zadáš jako parametr. Ale s nastaveným TTL 1. Čili hned první router ho vrátí jako nedoručitelný s informací, že vypršelo TTL. Traceroute ti tu adresu zobrazí. Následně udělá opět to samé, ale s TTL 2. A tak dál a tak dál, dokud nedostane informaci z adresy, kterou jsi mu zadal.
Žádnou výchozí bránu tam nevidíš. Odpovědi chodí z těch routerů po cestě podle jejich rozhraní.

[hapi]

Ahoj, je to takhle.

Kód: Vybrat vše

chain=srcnat action=src-nat to-addresses=a.b.c.d/30 src-address=10.3.0.0/24 out-interface=wan
chain=srcnat action=src-nat to-addresses=a.b.c.d/30 src-address=10.98.0.128/27 out-interface=wan
chain=srcnat action=src-nat to-addresses=e.f.g.h/29 src-address=10.33.0.0/28 out-interface=wan


Předem děkuji za osvětu...

odkdy se do to-address píše něco/netmask? resp. jak se ti povedlo to tam vůbec napsat?

[ludvik]

No, píše se to tam odjakživa ... jenom to v tomto případě postrádá smysl. Zvlášť u té /30 sítě je to blbost (jsem si toho ani nevšiml).

[pgb]

Src nat na jednu IP je /30 blbě. To může hodit na špatnou IP - /30 = 4xIP. Má tam být /32 (kterou to skryje jako výchozí hodnotu bez masky).

Záleží co potřebujete.

Větší rozsahy se dají použít třeba jako základní load ballancing třeba.

[rsaf]

...schválně jsem chtěl /30 protože jsem tam měl emailový server a nechtěl jsem řešit že mi některý z jeho klientů zaspamuje celý subnet...


Na jednu stranu jsem spokojený že to funguje a na druhou stranu zase nervozní protože nevím proč?

Děsí mě, z jakými znalostmi se lidi pouštějí do sítí, provozu serverů... Vždyť tady jde o úplné základy fungování TCP/IP protokolu, celkem jednoduché principy NATu apod.

[hapi]

No, píše se to tam odjakživa ... jenom to v tomto případě postrádá smysl. Zvlášť u té /30 sítě je to blbost (jsem si toho ani nevšiml).

cože? zkusil sis do to-address napsat adresu s lomítkem? mě teda všude to hodí chybu.

[ludvik]

Vlastně jsem tím myslel SRC-NAT v netfilteru ... a tam rozsah lze odjakživa.

A jen tak mimochodem. Zkusil. A jde to i v MK.

[hapi]

vážně?

https://ctrlv.cz/qTPY

[ludvik]

Vážně!

Ta možnost má dokonce tu vlastnost, že dle konexí ty IP balancuje. Není to jen překlep programátora.
A je to dost stará vlastnost: http://www.netfilter.org/documentation/ ... HOWTO.html

Si myslíš, že si vymýšlím kraviny?

[hapi]

aha, ty tam píšeš network, já ip adresu. K čemu to je když pak půlka věcí nefunguje?

[okoun]

no a když tam napíšeš network tzv dvě a více IP tak jak to potom funguje když má na výběr z vícero adres? tak jako nějak náhodně???

[ludvik]

hapi: mě by nikdy nenapadlo napsat tam IP adresu z prostředka segmentu, když chci zadat síť. Ale jinak to vidím na problém MK GUI, že si to sám "nevynuluje" podle masky. Myslím, že iptables to zvládnou.

Co myslíš tím, že půlka věcí nefunguje?

okoun: na tom odkazu, co jsem dával se to dočteš.

[okoun]

aha takže se použije nejméně použitá, docela dobré, nicméně nezapotí se potom router když má ještě evidovat jaká adresa je kolikrát už použita?

[hapi]

hapi: mě by nikdy nenapadlo napsat tam IP adresu z prostředka segmentu, když chci zadat síť. Ale jinak to vidím na problém MK GUI, že si to sám "nevynuluje" podle masky. Myslím, že iptables to zvládnou.

Co myslíš tím, že půlka věcí nefunguje?

okoun: na tom odkazu, co jsem dával se to dočteš.

myslim to tak že když se použije nejméně používaná tak to znamená že v různém čase je to různá ip adresa takže když jdu jednou do banky na příhlášení a pak mě to překopne druhou ip a chci stahnout výpis tak mě banka vykopne. Od toho je v mikrotiku funkce PCC aby to balancovalo správně.