URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 77553
[ Назад ]

Исходное сообщение
"Проблема с snat"
Отправлено XCool , 27-Ноя-07 12:52

Есть сетка, (условно) 192.168.49/24, аппаратный шлюз в корпоративную сеть - 192.168.49.1. Возникла необходимость отделить сетку 192.168.49/24 от корпоративной защитным экраном. Это машинка на asplinux 10, с двумя сетевыми картами и адресами 192.168.49.33 (eth0, якобы внутренний), и 192.168.49.34 (eth1, якобы внешний), на всех машинках в сетке прописал адрес шлюза 192.168.49.33. На машине-экране настроил маршрутизацию так:
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.49.1    192.168.49.34   255.255.255.255 UGH   0      0        0 eth1
192.168.49.0    192.168.49.33   255.255.255.0   UG    0      0        0 eth0
0.0.0.0         192.168.49.1    0.0.0.0         UG    0      0        0 eth1
Из сетки 192.168.49/24 машинки нормально выходят в корпоративную сетку, все работает.
Пакеты форвардятся с одного интерфейса на другой, затем на шлюз и в корпоративную сетку - проблем нет. Обратно они идут от шлюза клиенту минуя экран. Хочу уточнить что все машины в сетке 192.168.49/24 поключены к одному коммутатору, включая шлюз и обе карты экрана.
Затем, включаю на экране в iptables действие snat для всех пакетов уходящих с интерфейса 192.168.49.34 (eth1) - что-бы пакеты в обоих направлениях шли только через экран. Вот здесь появилась проблема, связь стала ненадежной, то есть все вроде работает, но при скачивании больших файлов (50-300мб) по протоколу smb в любой момент времени загрузка прерывается с ошибкой "не могу прочитать файл". Ошибка при передаче появляется и при скачивании файлов с экрана. Выключаю действие snat - все нормально работает. В чем может быть дело?

Содержание

Проблема с snat,Koba LTD, 15:55 , 27-Ноя-07
Проблема с snat,PavelR, 23:40 , 27-Ноя-07
- Проблема с snat,XCool, 11:14 , 28-Ноя-07
  - Проблема с snat,XCool, 12:41 , 12-Дек-07

Сообщения в этом обсуждении

"Проблема с snat"
Отправлено Koba LTD , 27-Ноя-07 15:55

>[оверквотинг удален]
>минуя экран. Хочу уточнить что все машины в сетке 192.168.49/24 поключены
>к одному коммутатору, включая шлюз и обе карты экрана.
>Затем, включаю на экране в iptables действие snat для всех пакетов уходящих
>с интерфейса 192.168.49.34 (eth1) - что-бы пакеты в обоих направлениях шли
>только через экран. Вот здесь появилась проблема, связь стала ненадежной, то
>есть все вроде работает, но при скачивании больших файлов (50-300мб) по
>протоколу smb в любой момент времени загрузка прерывается с ошибкой "не
>могу прочитать файл". Ошибка при передаче появляется и при скачивании файлов
>с экрана. Выключаю действие snat - все нормально работает. В чем
>может быть дело?
Ответ в производительности и кревых руках - нат это тормазная штука и для таких целей просто не предназначен, если нужно отделить 2 подсетки друг от друга то нужно юзать VLAN, вовторых не понимаю понятия отделить экраном - зачем если всерано делал SNAT из сетки в сетку и роутин сквозной.
Вобщем не предумай велосипед или разноси в разные подсети сетки или VLAN а SNAT в таком случаи для мазахистов темболее что скорее всего железо на которм ты подымаещь его для этого не преднозначено.

"Проблема с snat"
Отправлено PavelR , 27-Ноя-07 23:40

>только через экран. Вот здесь появилась проблема, связь стала ненадежной, то
>есть все вроде работает, но при скачивании больших файлов (50-300мб) по
>протоколу smb в любой момент времени загрузка прерывается с ошибкой "не
>могу прочитать файл". Ошибка при передаче появляется и при скачивании файлов
>с экрана. Выключаю действие snat - все нормально работает. В чем
>может быть дело?
Связь у тебя обрывается, когда с одним хостом вне твоей сети делают соединения
два разных компа из твоей сети.
Для внешнего хоста это два соединения с одного айпи, чего по его мнению быть не может, вот связь и рвется. Утверждение основано на практике использования SMB, в теорию процесса не вникал.

Утверждения товарисча выше про тормознутость NAT не поддерживаю, а всё остальное, типа разделения экраном компов, воткнутых в один свич и в одной подсети - действительно бред.

"Проблема с snat"
Отправлено XCool , 28-Ноя-07 11:14

>Связь у тебя обрывается, когда с одним хостом вне твоей сети делают
>соединения
>два разных компа из твоей сети.
>Для внешнего хоста это два соединения с одного айпи, чего по его
>мнению быть не может, вот связь и рвется. Утверждение основано на
>практике использования SMB, в теорию процесса не вникал.
>
Точно. Нашел вот это http://support.microsoft.com/kb/301673

"Проблема с snat"
Отправлено XCool , 12-Дек-07 12:41

>>Связь у тебя обрывается, когда с одним хостом вне твоей сети делают
>>соединения
>>два разных компа из твоей сети.
>>Для внешнего хоста это два соединения с одного айпи, чего по его
>>мнению быть не может, вот связь и рвется. Утверждение основано на
>>практике использования SMB, в теорию процесса не вникал.
>>
>
>Точно. Нашел вот это http://support.microsoft.com/kb/301673
Сделал как рекомендуется в статье, затем на всякий случай закрыл форвардинг 445 порта через экран и включил снат и все заработало!!!!