прозрачное натирование 1:1

iptables, nat, raw, rawpost, xtables-addons

0

1

Привет всем! Хотелось бы знать, кто использовал RAWDNAT RAWSNAT, не работают у меня трассировки на этих правилах. Кто как решал? tracepath работает, а вот traceroute дальше сервера с правилами RAW не идет.

Ссылка

←	Многопоточная тренировка нейросети

Как победить WiFi?

→

Сам не использовал, но предполагаю, что тебе надо добавить правило RAWDNAT/RAWSNAT для icmp-ttl-exceeded и icmp-port-unreachable.

anonymous
(18.11.14 14:40:29 MSK)

И, кстати, для каких целей RAWNAT вообще может пригодиться?

anonymous
(18.11.14 14:52:01 MSK)

Ссылка

Ответ на: комментарий от anonymous 18.11.14 14:40:29 MSK

например?

init_ ★★★
(18.11.14 15:28:37 MSK) автор топика

Ответ на: комментарий от init_ 18.11.14 15:28:37 MSK

Я подозревал, что имея RAWDNAT/RAWSNAT в правилах, ты сможешь написать дополнительные правила сам :-/

Читай ман iptables-extensions на предмет матчинга icmp (-m icmp), про типы можешь почитать в соответствующем RFC, также можешь погуглить подробное описание трейсроутинга для полноты картины.

Ну или переходи на DNAT/SNAT, RAWNAT'а уже нет в апстриме

anonymous
(18.11.14 15:45:18 MSK)

Ссылка

anonymous прав - RAWDNAT/RAWSNAT давно никем не используются и работоспособность их под большим вопросом. Тем более, что есть NETMAP.

Если хочется stateless NAT, то оно есть в свежих ядрах со свежим iproute2

vel ★★★★★
(18.11.14 20:34:19 MSK)
Последнее исправление: vel 18.11.14 20:34:37 MSK (всего исправлений: 1)

Ответ на: комментарий от vel 18.11.14 20:34:19 MSK

о, спасибо, буду пробовать занатить с помощью iproute2. rawnat вроде как еще живой в xtables-addons

init_ ★★★
(18.11.14 21:27:55 MSK) автор топика

Ответ на: комментарий от init_ 18.11.14 21:27:55 MSK

iproute2 могучий инструмент, но если не врет мой склероз у него задаччи маршрутизации и НАТами он не заведует.

everest2014 ★
(19.11.14 00:10:51 MSK)

Ответ на: комментарий от everest2014 19.11.14 00:10:51 MSK

судя по манам, он натировать умеет

[root@masq-gw]# ip route add nat 205.254.211.17 via 192.168.100.17
[root@masq-gw]# ip rule add nat 205.254.211.17 from 192.168.100.17

как то так

init_ ★★★
(19.11.14 07:19:58 MSK) автор топика
Последнее исправление: init_ 19.11.14 07:20:28 MSK (всего исправлений: 1)

Ответ на: комментарий от init_ 19.11.14 07:19:58 MSK

Склероз сыграл злую шутку, прости.

everest2014 ★
(19.11.14 07:37:27 MSK)

Ссылка

Ответ на: комментарий от vel 18.11.14 20:34:19 MSK

А расскажите поподробней, пожалуйста.

Года три назад использовал именно RAWSNAT/RAWDNAT и ct --notrack. Что сейчас для этого используют, iproute2 nat? С какого ядра он работает? Раньше он точно был неработоспособен.

ValdikSS ★★★★★
(20.11.14 07:42:50 MSK)

Ответ на: комментарий от ValdikSS 20.11.14 07:42:50 MSK

Его починили год или 2 назад, а до этого оно долгое время не работало и его объявили deprecated в 2.6

в 3.14,3.12,3.10,3.4 оно есть

У меня в закладках такая инфа

# eth0 is public(WAN) interface
tc qdisc add dev eth0 ingress
tc filter add dev eth0 parent ffff: protocol ip prio 10 u32 match ip dst 192.168.10.15/32 action nat ingress 192.168.10.15/32 192.168.0.130

# eth1 is "internal"(LAN) interface
tc qdisc add dev eth1 ingress
tc filter add dev eth1 parent ffff: protocol ip prio 10 u32 match ip src 192.168.0.130/32 action nat egress 192.168.0.130/32 192.168.10.15

vel ★★★★★
(20.11.14 10:56:02 MSK)

Ответ на: комментарий от vel 20.11.14 10:56:02 MSK

Через tc? Как-то не очень мне нравится, но спасибо.

ValdikSS ★★★★★
(20.11.14 11:20:17 MSK)

Ответ на: комментарий от ValdikSS 20.11.14 11:20:17 MSK

init_ Не зря эту поделку RAWNAT не взяли в ядро - автор поленился дописать поддержку icmp

vel ★★★★★
(20.11.14 13:52:35 MSK)

Ответ на: комментарий от vel 20.11.14 13:52:35 MSK

ну оно работает главное... 2 года полет нормальный, только вот напрягает то что icmp хз как работает и диагностику особо толком не проделаешь

init_ ★★★
(20.11.14 14:30:15 MSK) автор топика

Ссылка

Ответ на: комментарий от vel 20.11.14 13:52:35 MSK

Хм, когда я настраивал года 3 назад, ICMP у меня точно работал. Я делал именно 1-1 mapping без conntrack.

http://toster.ru/q/14222#comment_70540

ValdikSS ★★★★★
(20.11.14 16:39:13 MSK)

Ответ на: комментарий от ValdikSS 20.11.14 16:39:13 MSK

а можно поподробнее про CT --notrack? Оно у вас совместно с правилами RAWSNAT/DNAT работало?

init_ ★★★
(21.11.14 08:58:55 MSK) автор топика

Ответ на: комментарий от init_ 21.11.14 08:58:55 MSK

Да, именно так. Почему-то в RAW-таблице conntrack все равно матчил соединения, а мне это было не нужно, вот я его так и отключал.

ValdikSS ★★★★★
(21.11.14 17:34:49 MSK)

Ссылка

Ответ на: комментарий от vel 20.11.14 10:56:02 MSK

через tc не сканало, может что сделал неправильно. В итоге сделал через NETMAP, а RAWNAT и правда выпилили из xtables :( на NETMAP трассировки работают. правда в нагрузках еще не тестил

init_ ★★★
(26.11.14 15:28:02 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Многопоточная тренировка нейросети

General

Как победить WiFi?

→

Похожие темы