forum.opennet.ru - "Проблема с snat" (4)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Проблема с snat"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Проблема с snat"
Сообщение от XCool (??) on 27-Ноя-07, 12:52
Есть сетка, (условно) 192.168.49/24, аппаратный шлюз в корпоративную сеть - 192.168.49.1. Возникла необходимость отделить сетку 192.168.49/24 от корпоративной защитным экраном. Это машинка на asplinux 10, с двумя сетевыми картами и адресами 192.168.49.33 (eth0, якобы внутренний), и 192.168.49.34 (eth1, якобы внешний), на всех машинках в сетке прописал адрес шлюза 192.168.49.33. На машине-экране настроил маршрутизацию так: Kernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.49.1 192.168.49.34 255.255.255.255 UGH 0 0 0 eth1 192.168.49.0 192.168.49.33 255.255.255.0 UG 0 0 0 eth0 0.0.0.0 192.168.49.1 0.0.0.0 UG 0 0 0 eth1 Из сетки 192.168.49/24 машинки нормально выходят в корпоративную сетку, все работает. Пакеты форвардятся с одного интерфейса на другой, затем на шлюз и в корпоративную сетку - проблем нет. Обратно они идут от шлюза клиенту минуя экран. Хочу уточнить что все машины в сетке 192.168.49/24 поключены к одному коммутатору, включая шлюз и обе карты экрана. Затем, включаю на экране в iptables действие snat для всех пакетов уходящих с интерфейса 192.168.49.34 (eth1) - что-бы пакеты в обоих направлениях шли только через экран. Вот здесь появилась проблема, связь стала ненадежной, то есть все вроде работает, но при скачивании больших файлов (50-300мб) по протоколу smb в любой момент времени загрузка прерывается с ошибкой "не могу прочитать файл". Ошибка при передаче появляется и при скачивании файлов с экрана. Выключаю действие snat - все нормально работает. В чем может быть дело?
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Проблема с snat, Koba LTD, 15:55 , 27-Ноя-07, (1)
Проблема с snat, PavelR, 23:40 , 27-Ноя-07, (2)

Проблема с snat, XCool, 11:14 , 28-Ноя-07, (3)

Проблема с snat, XCool, 12:41 , 12-Дек-07, (4)

Сообщения по теме [Сортировка по времени | RSS]

1. "Проблема с snat"

Сообщение от Koba LTD on 27-Ноя-07, 15:55

>[оверквотинг удален]
>минуя экран. Хочу уточнить что все машины в сетке 192.168.49/24 поключены
>к одному коммутатору, включая шлюз и обе карты экрана.
>Затем, включаю на экране в iptables действие snat для всех пакетов уходящих
>с интерфейса 192.168.49.34 (eth1) - что-бы пакеты в обоих направлениях шли
>только через экран. Вот здесь появилась проблема, связь стала ненадежной, то
>есть все вроде работает, но при скачивании больших файлов (50-300мб) по
>протоколу smb в любой момент времени загрузка прерывается с ошибкой "не
>могу прочитать файл". Ошибка при передаче появляется и при скачивании файлов
>с экрана. Выключаю действие snat - все нормально работает. В чем
>может быть дело?
Ответ в производительности и кревых руках - нат это тормазная штука и для таких целей просто не предназначен, если нужно отделить 2 подсетки друг от друга то нужно юзать VLAN, вовторых не понимаю понятия отделить экраном - зачем если всерано делал SNAT из сетки в сетку и роутин сквозной.
Вобщем не предумай велосипед или разноси в разные подсети сетки или VLAN а SNAT в таком случаи для мазахистов темболее что скорее всего железо на которм ты подымаещь его для этого не преднозначено.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Проблема с snat"

Сообщение от PavelR (??) on 27-Ноя-07, 23:40

>только через экран. Вот здесь появилась проблема, связь стала ненадежной, то
>есть все вроде работает, но при скачивании больших файлов (50-300мб) по
>протоколу smb в любой момент времени загрузка прерывается с ошибкой "не
>могу прочитать файл". Ошибка при передаче появляется и при скачивании файлов
>с экрана. Выключаю действие snat - все нормально работает. В чем
>может быть дело?
Связь у тебя обрывается, когда с одним хостом вне твоей сети делают соединения
два разных компа из твоей сети.
Для внешнего хоста это два соединения с одного айпи, чего по его мнению быть не может, вот связь и рвется. Утверждение основано на практике использования SMB, в теорию процесса не вникал.

Утверждения товарисча выше про тормознутость NAT не поддерживаю, а всё остальное, типа разделения экраном компов, воткнутых в один свич и в одной подсети - действительно бред.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Проблема с snat"

Сообщение от XCool (??) on 28-Ноя-07, 11:14

>Связь у тебя обрывается, когда с одним хостом вне твоей сети делают
>соединения
>два разных компа из твоей сети.
>Для внешнего хоста это два соединения с одного айпи, чего по его
>мнению быть не может, вот связь и рвется. Утверждение основано на
>практике использования SMB, в теорию процесса не вникал.
>
Точно. Нашел вот это http://support.microsoft.com/kb/301673

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Проблема с snat"

Сообщение от XCool (ok) on 12-Дек-07, 12:41

>>Связь у тебя обрывается, когда с одним хостом вне твоей сети делают
>>соединения
>>два разных компа из твоей сети.
>>Для внешнего хоста это два соединения с одного айпи, чего по его
>>мнению быть не может, вот связь и рвется. Утверждение основано на
>>практике использования SMB, в теорию процесса не вникал.
>>
>
>Точно. Нашел вот это http://support.microsoft.com/kb/301673
Сделал как рекомендуется в статье, затем на всякий случай закрыл форвардинг 445 порта через экран и включил снат и все заработало!!!!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Проблема с snat"
Сообщение от Koba LTD on 27-Ноя-07, 15:55
>[оверквотинг удален] >минуя экран. Хочу уточнить что все машины в сетке 192.168.49/24 поключены >к одному коммутатору, включая шлюз и обе карты экрана. >Затем, включаю на экране в iptables действие snat для всех пакетов уходящих >с интерфейса 192.168.49.34 (eth1) - что-бы пакеты в обоих направлениях шли >только через экран. Вот здесь появилась проблема, связь стала ненадежной, то >есть все вроде работает, но при скачивании больших файлов (50-300мб) по >протоколу smb в любой момент времени загрузка прерывается с ошибкой "не >могу прочитать файл". Ошибка при передаче появляется и при скачивании файлов >с экрана. Выключаю действие snat - все нормально работает. В чем >может быть дело? Ответ в производительности и кревых руках - нат это тормазная штука и для таких целей просто не предназначен, если нужно отделить 2 подсетки друг от друга то нужно юзать VLAN, вовторых не понимаю понятия отделить экраном - зачем если всерано делал SNAT из сетки в сетку и роутин сквозной. Вобщем не предумай велосипед или разноси в разные подсети сетки или VLAN а SNAT в таком случаи для мазахистов темболее что скорее всего железо на которм ты подымаещь его для этого не преднозначено.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Проблема с snat"
Сообщение от PavelR (??) on 27-Ноя-07, 23:40
>только через экран. Вот здесь появилась проблема, связь стала ненадежной, то >есть все вроде работает, но при скачивании больших файлов (50-300мб) по >протоколу smb в любой момент времени загрузка прерывается с ошибкой "не >могу прочитать файл". Ошибка при передаче появляется и при скачивании файлов >с экрана. Выключаю действие snat - все нормально работает. В чем >может быть дело? Связь у тебя обрывается, когда с одним хостом вне твоей сети делают соединения два разных компа из твоей сети. Для внешнего хоста это два соединения с одного айпи, чего по его мнению быть не может, вот связь и рвется. Утверждение основано на практике использования SMB, в теорию процесса не вникал. Утверждения товарисча выше про тормознутость NAT не поддерживаю, а всё остальное, типа разделения экраном компов, воткнутых в один свич и в одной подсети - действительно бред.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Проблема с snat"
	Сообщение от XCool (??) on 28-Ноя-07, 11:14
	>Связь у тебя обрывается, когда с одним хостом вне твоей сети делают >соединения >два разных компа из твоей сети. >Для внешнего хоста это два соединения с одного айпи, чего по его >мнению быть не может, вот связь и рвется. Утверждение основано на >практике использования SMB, в теорию процесса не вникал. > Точно. Нашел вот это http://support.microsoft.com/kb/301673
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Проблема с snat"
	Сообщение от XCool (ok) on 12-Дек-07, 12:41
	>>Связь у тебя обрывается, когда с одним хостом вне твоей сети делают >>соединения >>два разных компа из твоей сети. >>Для внешнего хоста это два соединения с одного айпи, чего по его >>мнению быть не может, вот связь и рвется. Утверждение основано на >>практике использования SMB, в теорию процесса не вникал. >> > >Точно. Нашел вот это http://support.microsoft.com/kb/301673 Сделал как рекомендуется в статье, затем на всякий случай закрыл форвардинг 445 порта через экран и включил снат и все заработало!!!!
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]