Ahoj lidi, moc prosím o radu jak děláte pravidla NAT 1:1 veřejných IP pro klienty. Mám klasicky ve firewallu v NAT na hlavní GW pravidla DST a SRC, kde SRC jsou před maškarádou a DST za maškarádou
Dále zkouším nastavení NAT veřejek přes ISPADMINA přes ten jejich adress pool, je potřeba ještě něco? Ptám se hlavně z důvodu, že se mi nedávno stalo generovaní Trafficu asi na dvě veřejné IP a tím to vytížilo konektivitu, jak se tomuhle bránit?
action=src-nat chain=srcnat out-interface=ether1 src-address=x.x.x.x to-addresses=x.x.x.x
action=dst-nat chain=dstnat comment="" dst-address=x.x.x.x in-interface=ether1 to-addresses=x.x.x.x
Ještě přikládám konfiguraci pravidla pro DNS odpověd pouze ze sítě
chain=input action=drop protocol=udp src-address-list=!povolene_rozsahy_proDNS dst-port=53 log=no log-prefix=""
chain=input action=drop protocol=tcp src-address-list=!povolene_rozsahy_proDNS dst-port=53 log=no log-prefix=""
Moc prosím o kontrolu případně doporučení...
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Veřejné IP správná konfigurace?
-
Dalibor Toman
- Příspěvky: 1246
- Registrován: 13 years ago
Tornado101 píše:Ahoj lidi, moc prosím o radu jak děláte pravidla NAT 1:1 veřejných IP pro klienty.
verejna IP za NAT 1:1 neni plnohodnotna verejna IP. Takze proc tu verejku prznit nejakym NATem?
0 x
To je zas reakce 
protože bagr, buď nemá pppoe, nebo neche plýtvat /30 rozsahy, nebo tam nemá možnostu udělat lehce tunely nebo milion jiných možností.
Ano nat 1:1 se dá takhle udělat, je dobré ho doplnit o firewall, případně jetě rozšířit o harpain-nat.
protože bagr, buď nemá pppoe, nebo neche plýtvat /30 rozsahy, nebo tam nemá možnostu udělat lehce tunely nebo milion jiných možností.Ano nat 1:1 se dá takhle udělat, je dobré ho doplnit o firewall, případně jetě rozšířit o harpain-nat.
1 x
takhle to máme my. Funguje to zvenku i zevnitř. Pro 99% userů to stačí, kombinaci s routovanou veřejnou dovnitř sítě se to nevylučuje.
add action=src-nat chain=srcnat comment="verejna IP ZEVNITR vip.xx.yy.zz Franta Vomacka" dst-address=vnitrni.ip.yy.zz src-address-list=dns out-interface=ether2-antena to-addresses=vip.xx.yy.zz
add action=dst-nat chain=dstnat comment="verejna IP vip.xx.yy.zz Franta Vomacka" dst-address=vip.xx.yy.zz to-addresses=vnitrni.ip.yy.zz
add action=src-nat chain=srcnat comment=" verejna IP vip.xx.yy.zz Franta Vomacka" src-address=vnitrni.ip.yy.zz out-interface=ether1-NET to-addresses=vip.xx.yy.zz
add action=src-nat chain=srcnat comment="verejna IP ZEVNITR vip.xx.yy.zz Franta Vomacka" dst-address=vnitrni.ip.yy.zz src-address-list=dns out-interface=ether2-antena to-addresses=vip.xx.yy.zz
add action=dst-nat chain=dstnat comment="verejna IP vip.xx.yy.zz Franta Vomacka" dst-address=vip.xx.yy.zz to-addresses=vnitrni.ip.yy.zz
add action=src-nat chain=srcnat comment=" verejna IP vip.xx.yy.zz Franta Vomacka" src-address=vnitrni.ip.yy.zz out-interface=ether1-NET to-addresses=vip.xx.yy.zz
1 x