форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Маршрутизация, NAT / Linux)
Изначальное сообщение		[ Отслеживать ]

"Вопрос по DNAT/SNAT"	+/–
Сообщение от Aerodynamic (ok) on 30-Янв-12, 10:01
Есть сервера предоставления доступа, которые предоставляют "белые" адреса людям путём преобразования "серых" адресов по технологии SNAT для трафика генерируемого абонентом и DNAT для трафика направленного к абоненту. Суть проблемы в том, что ответ на запрос может прийти на другой сервер, на котором нет информации о сессии абонента в таблице conntrack и, соответственно, ответ на втором сервере умирает. Возможно ли каким либо образом производить преобразование адресов не основываясь на табличке conntrack? Поскольку у меня есть конкретное сопоставление адресов "белый" и "серый" возможно преобразование адресов по табличе соответствия, не обращая внимания на сессию. Либо синхронизировать таблички conntrack между серверами, чтобы ответ пришедший на другой сервер был корректно отработан. Вот примерная схема прохождения пакета в сети. http://clip2net.com/s/1xhbs
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Вопрос по DNAT/SNAT"	+/–
Сообщение от PavelR (??) on 30-Янв-12, 10:55
> Возможно ли каким либо образом производить преобразование > адресов не основываясь на табличке conntrack? Поскольку у меня есть конкретное > сопоставление адресов "белый" и "серый" возможно преобразование адресов по табличе соответствия, > не обращая внимания на сессию. iptables target NETMAP  - не оно ? я не пробовал... > Либо синхронизировать таблички conntrack между серверами, > чтобы ответ пришедший на другой сервер был корректно отработан. Вроде conntrackd   для этого нужен.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Вопрос по DNAT/SNAT"	+/–
	Сообщение от Aerodynamic (ok) on 31-Янв-12, 09:04
	>> Возможно ли каким либо образом производить преобразование >> адресов не основываясь на табличке conntrack? Поскольку у меня есть конкретное >> сопоставление адресов "белый" и "серый" возможно преобразование адресов по табличе соответствия, >> не обращая внимания на сессию. > iptables target NETMAP  - не оно ? я не пробовал... NETMAP немного не то, если мне память не изменяет он нужен именно для того, чтобы одну сеть странслировать в другую один к одному. >> Либо синхронизировать таблички conntrack между серверами, >> чтобы ответ пришедший на другой сервер был корректно отработан. > Вроде conntrackd   для этого нужен. Conntrackd меня сильно заинтересовал, но не могу разобраться каким образом его настроить, чтобы транслировать сconntrack табличку на другой сервер.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Вопрос по DNAT/SNAT"	+/–
	Сообщение от PavelR (??) on 31-Янв-12, 09:07
	>>> Возможно ли каким либо образом производить преобразование >>> адресов не основываясь на табличке conntrack? Поскольку у меня есть конкретное >>> сопоставление адресов "белый" и "серый" возможно преобразование адресов по табличе соответствия, >>> не обращая внимания на сессию. >> iptables target NETMAP  - не оно ? я не пробовал... > NETMAP немного не то, если мне память не изменяет он нужен именно > для того, чтобы одну сеть странслировать в другую один к одному. Сравните ваше: > - у меня есть конкретное  сопоставление адресов "белый" и "серый" > - NETMAP ... нужен именно для того, чтобы одну сеть странслировать в другую один к одному. и добавьте, что можно сопоставить  1.2.3.4/32 + 192.168.0.5/32. Нет ? > Conntrackd меня сильно заинтересовал, но не могу разобраться каким образом его настроить, чтобы транслировать сconntrack табличку на другой сервер. ну так - разбирайтесь, документация должна отображать этот момент. Я не пользуюсь conntrackd.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема