Эксклюзивное выделение адреса при SNAT

0

2

Добрый день всем!

Схема простая: клиенты - машина с iptables - сервер.

Клиентов много, адресов в пуле iptables - не очень. Клиенты работают с сервером короткими tcp-сессиями (в основном). Нужно чтобы пока tcp-сессия для клиента1 активна, никто другой не смог использовать этот адрес (после закрытия сессии - пожалуйста). Если просто использовать SNAT, то там адрес выбирается по хэшу, и рано или поздно клиенты пересекутся на одном адресе. Можно ли избежать этого?

Ссылка

←	OpenVPN: server vpn failed!

postfix+dovecot невидно почты

→

Наверное, можно попробовать в SNAT правиле для этого сервера указать диапазон ip-адресов и только один порт. Тогда по идее, так как разрешён только один порт для каждого коннекта будет свой ip-адрес, правда все соединения с сервером будут всегда с одного src-порта.

mky ★★★★★
(17.04.13 23:14:58 MSK)

Ответ на: комментарий от mky 17.04.13 23:14:58 MSK

Просто, логично, изящно, осталось только проверить. Спасибо за отличный совет!

anonymous_0
(18.04.13 08:43:06 MSK) автор топика

Ссылка

Ответ на: комментарий от mky 17.04.13 23:14:58 MSK

тогда по идее, так как разрешён только один порт для каждого коннекта будет свой ip-адрес, правда все соединения с сервером будут всегда с одного src-порта.

таблица nat не служит для того чтобы там прописывали разрешающие или запрещающие правила. это нужно делать в секции forvard таблицы filter

vxzvxz ★★★
(18.04.13 10:09:24 MSK)

Ответ на: комментарий от vxzvxz 18.04.13 10:09:24 MSK

man iptables

SNAT
--to-source ipaddr[-ipaddr][:port[-port]]

Я про эти порты.

mky ★★★★★
(18.04.13 17:14:56 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	OpenVPN: server vpn failed!

Admin

postfix+dovecot невидно почты

→

Похожие темы