Dynamický NAT

[erotel]

Ahoj

Řeším problém na hlavní GW.

Dosud jsem používal pro klienty na NATem pravidla,kde jednotlivé rozsahy se natují na jednu veřejnou ip.

Kód: Vybrat vše

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j SNAT --to X.X.X.0
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j SNAT --to X.X.X.1
iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j SNAT --to X.X.X.2
iptables -t nat -A POSTROUTING -s 192.168.3.0/24 -o eth0 -j SNAT --to X.X.X.3
atd.


Jelikož nevyužívám všechny rozsahy 192.168.X.X/24 ,ale chci využít všechny veřejné ip,zadal jsem pravidlo

Kód: Vybrat vše

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/16 -j SNAT --to-source X.X.X.1-X.X.X.254


Po téhle změně mi klienti hlásí nemožnost přehrávání videí na nova plus,ivysílání

Díky za pomoc

[ludvik]

To pravidlo neznamená "vyber si jednu a tu používej pořád". Ale vybírá nová se pro každou konexi. Takže u videí, které jsou "segmentované" se klidně může stát, že kousek je stahován pod jednou IP a druhý kousek pod další. A to se jim nemusí líbit.

Ale nikdy jsem to nezkoušel. Jiné vysvětlení ale asi nepřipadá v úvahu. Zkus z takové stanice zobrazovat třeba mojeip.cz, pokud se ti bude měnit, je to co tvrdím pravda.

[erotel]

Vyřešeno s pomocí na jiném fóru.

Řešení je zadat

Kód: Vybrat vše

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/16 -j SNAT --to-source X.X.X.1-X.X.X.254 --persistent

[cancel]

da sa toto nastavit aj na mikrotiku?

[Exter01]

da sa toto nastavit aj na mikrotiku?

pravdepodobne

Kód: Vybrat vše

add action=src-nat chain=srcnat disabled=no src-address=192.168.0.0/16 to-addresses=X.X.X.1-X.X.X.254

ale ako to bude fungovat , to neviem zarucit

[ludvik]

Jsi mu přepsal to jeho "linux" řešení do "mikrotik". Což není to, co by si představoval ... jaksi tam chybí --persistent.

[forkman]

Dovolím si oživit starší téma, dá se ten persistent parametr na mikrotiku taky nějak jednoduše vyřešit?

[fujara]

Dovolím si oživit starší téma, dá se ten persistent parametr na mikrotiku taky nějak jednoduše vyřešit?

Mam to takto:
/ip firewall nat
add action=same chain=srcnat comment=nat out-interface=WAN same-not-by-dst=yes src-address=10.0.0.0/8 to-addresses=x.x.x.0/24

[ronin]

Dovolím si oživit starší téma, dá se ten persistent parametr na mikrotiku taky nějak jednoduše vyřešit?

Mam to takto:
/ip firewall nat
add action=same chain=srcnat comment=nat out-interface=WAN same-not-by-dst=yes src-address=10.0.0.0/8 to-addresses=x.x.x.0/24

Rozumím tomu správně, že toto pravidlo vybírá veřejné IP na které se má natovat nějak postupně či podle používání, tak aby se nestalo, že třeba všichni klienti pojedou přes jednu určitou IP a pak se mi stane, že dojdou na té veřejné porty a nová spojení se již nebudou navazovat a tak přestanou jet klientům nová spojení?

[pgb]

Same not by dst zajišťuje, aby se jedna zdrojová ip v lan přeložila při komunikaci s více cíly za stále stejnou ip při použití srcnat rozsahu.

Jak funguje algoritmus vybíráni ip z src nat rozsahu netuším, jestli jede postupně dokola ..... nehledal jsem, zkusím zítra dohledat a odlaborovat.

[ronin]

Same not by dst zajišťuje, aby se jedna zdrojová ip v lan přeložila při komunikaci s více cíly za stále stejnou ip při použití srcnat rozsahu.

Jak funguje algoritmus vybíráni ip z src nat rozsahu netuším, jestli jede postupně dokola ..... nehledal jsem, zkusím zítra dohledat a odlaborovat.

Super, děkuji, zajímalo by mě to.
Resp. hledám řešení jak by se mi rovnoměrně překládaly zdrojové IP na veřejné. Právě proto, aby se minimalizovala možnost, že by mi na veřejné došly porty a nenavazovaly by se tak nová spojení. Mám totiž veřejných pouze omezené množství.

[hapi]

nový spojení pokud vim se navazujou vždy, maže to nejstarší spojení když neni volno.

[iTomB]

nový spojení pokud vim se navazujou vždy, maže to nejstarší spojení když neni volno.

Jak na cem hapi. Linux to nedela (mozna nejaka podpora, nenasel jsem), nektere routery se tak chovaji, nektere ne. Mikrotik nevim.

Cekam na tvou odpoved jinde

Tom

[ludvik]

Mazání nejstarších spojení postrádá logiku. Je lepší odmítnout nové (a zapsat do logu), než nějakým algoritmem ořezávat stará, klidně dlouhodobě běžící spojení.

[iTomB]

Mazání nejstarších spojení postrádá logiku. Je lepší odmítnout nové (a zapsat do logu), než nějakým algoritmem ořezávat stará, klidně dlouhodobě běžící spojení.

Jak kdy, pokud mas nastaven delsi cas ip_conntrack_tcp_timeout_established a vyhnivaj ti treba spojeni TCP=5228.

Tohle umel starej Asus DSL modem a v nem to bylo super.
Ja spis hledam, jak nastavit tento cas pro extra spojeni. Zjistil jsem, ze u nekterych spojeni je jiny, nez mam nastaveno a nevim co to zpusobuje.

Tom