Printable View
Zdravím,
měl bych dotaz. Vezměme tuto modelovou situaci
ISP(45.45.45.1/30)-----(45.45.45.2/30)LINUX_SERVER(10.1.1.1/24)---zbytek sítě
Na linuxový server je od ISP naroutováno jedno C veřejných ip adres. Za serverem je třeba 1000 lidí.
Nevíte někdo jak by se dalo udělat aby server natoval za náhodné veřejné ip adresy z nějakého rozsahu? Tedy ne každý den jinou ale naráz. Jednoho klienta za tuto, jiného za jinou, třetího třeba zas za tu první atd..
Díky za příspěvky
## Změň zdrojové adresy na 1.2.3.4, 1.2.3.5 nebo 1.2.3.6
# iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 1.2.3.4-1.2.3.6
Dík ještě dotaz, nebude to náhodou narušovat spojení? aby to každému paketu ve spojení nedalo jinou zdrojovou ip.Citace:
Původně odeslal Airwolf
Nemej strach, linux je inteligentni OS :)
Citace:
Původně odeslal Gregy
OK díky moc
Ten zapis neriesi to co chcel Gregy.
Aby sa nahodne vyberali verejne ipky tak to asi jednine nejakym scriptom ale pokial to chces nastavit na tvrdo tak najskor definuj ze vsetky ipky ktore nebudu definove inak pojdu cez jednu verejnu ipku
iptables -t nat -A POSTROUTING -o ethx -j MASQUERADE
kde ethx je sietovka do netu a MASQUERADE je je vlastne SNAT ale neurcujes ipku teda pouzije tu ktora je primarna.
a potom ludi ktori maju mat vlastne verejne ipky tak definujes
iptables -t nat -I POSTROUTING -s ipka_usera_privatna -j SNAT --to ipka _verejna
iptables -t nat -A PREROUTING -d ipka_verejna -j DNAT --to ipka_usera_privatna
pre kazdeho ktory bude mat verejnu ipku treba tieto dve pravidla samozrejme ze tieto ipky treba nahodit na iface lebo inak to fungovat nebude
Ale resi. To co tu pises ty, jednakCitace:
Původně odeslal XanFX
a) vetsine klientu prirazuje jednu konkretni IP a to stale
b) "vip" klientum urcuje jednu konkretni IP pro kazdeho jinou a to stale
Gregy chtel nahodne generovat IP adresu bez konkretniho urcovani, co kdo ma dostat vcetne neustale zmeny teto IP
Přesně tak. To tve XanFX zamaskuje všechny kromě vyvolených za jednu ip. To nechci.Citace:
Původně odeslal Airwolf
EDIT: Tak jsem si o tom jeste víc hledal a zjistil jsem že toto může způsobit že na jednom PC bude mít každé spojení jinou adresu. S tim by mohl mít nějaký software problém. Není nějaký způsob jak to udělat podle vnitřních adres a ne podle spojení?
Pak zbyva asi jen rozdelit to podle IP adres zevnitr, tj. dat je jako podminku, a kazde priradit napevno jinou adresu .. Mimoto nevidim zadny duvod, proc by mel router jednoho klienta maskovat pokazde za jinou IP
No tak neni to podmínka, ale dělat 800 pravidel ve firewallu se mi nechce...tak sem se to snažil nějak vyřešit. Není potřeba náhodnost. Šlo by to vyřešit tak že ty pravidla něčim vygeneruju ale přesně to řešení co dal Airvolf je takové elegantnější až na to maskování podle spojení a ne podle adres.
P.S. Tak to vypadá že si tohoto problému už někdo všiml
Doufám že je to to co potřebuju a nepochopil jsem to špatněCitace:
Původně odeslal changelog 2.6.11
No a co treba udelat jen x pravidel (x je pocet IP) a rozdelit klienty do skupin a kazdou skupinu schovat za jednu IP? :)))
Netvrdim ze na 100%, ale s vysokou pravdepodobnosti pokud negenerujes pravidla obsahujici konkretni porty, tak si tux do tabulky zapise kombinaci prideleny verejny/privatni IP a tu pak pouziva dokud nevytimeoutuje. Takze pravdepodobnost, ze by kazda konexe mela jinou IP je miziva.
Mimochodem, pokud mas 1000 kompu, tak si pozadej o vlastni rozsah. V tomhle mnoztvi by nemel bejt problem ziskat min 8x Ccko (/21) a ISP ti to pak jen naroutuje + muzes mit i vicero poskytovatelu konektivity.
No sorac nejako som tam prehliadol slovicko za. Ja som bol vtom ze chce ludi s verejnimi ipkami preto my neslo do hlavy ze nato staci iba SNAT.Citace:
Původně odeslal Airwolf
Na druhu stranu som to nejako nepochopil lebo chaoticky "porozhadzovat" 254 verejnych ipkiek je nejake divne.
Tak teď jsem zmaten, 8x C? To je nějak hodně ne? A není C /24? Já sem žádal o 2x C a dali mi C a půl a o víc nechtěli slyšet.Citace:
Původně odeslal Jezevec
Mozna zalezi na tom, jakym zpusobem a kde jsi zadal, firma kde jsem delal nemela problem ziskat cely C s moznosti rozsireni, rozsah od sloane
C je /24, 8 = 2^3, proto 8xC je /24-3 --> /21Citace:
Původně odeslal Gregy
Jasne ze tohle ti neprideli provider. Pozadej si u Ripe. Pokud vim, prideli ti takovy rozsah, ktery aktualne vyuzijes, x2 pokud rozumne zduvodnis ze to vyuzijes v dohledny dobe. Tyhle IP jsou pak tvoje a ISP snima nema nic spolecnyho, i kdyz ho zmenis, tak ti IPcka zustanou. ISPcku jen sdelis, ze ma routovat tvuj rozsah a on ho prida. Alternativne si provozujes BGP, ktery to zajisti tak nejak "samo".Citace:
Původně odeslal Gregy
V kazdym pripade by ses ale mel porozhlidnout po prideleni IPv6 prefixu, tam by problem nemel byt zadny.
Vytvářel jsem nějaký formulář, přikládal topologii, zdůvodňoval, myslim že se to posílalo na RIPE. Já to nakonec neposílal jen jsem to dělal ale myslim že to mělo putovat na RIPE.Citace:
Původně odeslal Jezevec
Tak se tam podivej, komu ty IP patri. Najdes to ve whois.
Fastlink, to je ta firma kde delam (pro kerou sem delal ten papir pro ripe). Takže to je v pořádku ne?
Ale to je jedno 1,5C nám stačí na dost dlouho, pokud bysme to nechtěli dát přímo na síť to by nám sežralo skoro vše. Ale mi to Natuje 1:1 když někdo chce takže v poho.
Jenze ty bys prave mohl ziskat dost IP na to, abys je moh normalne routovat.
Jo, to sem udělal, ale nedali mi je. 2C už by asi stačili ale nedali je.Citace:
Původně odeslal Jezevec
Napada te nejaky soft, ktery by s tim mohl mit problem? Predpokladam, ze nejsi sam, kdo resi tento problem a to reseni s SNAT a rozsahem IP adres je velmi standardni reseni a kdyby to zpusobovalo nejake problemy, urcite by to by kernel vyvojari nejak vyresili... ja bych se toho rozhodne nebal.
Citace:
Původně odeslal Gregy
Pokud více spojení na jeden server má jiné IP adresy tak třeba v případě www serveru banky může dojít k odhlášení kvůli podezření na krádež session (nebo něčeho jineho netušim jak to banky dělaj). Jinak jak už jsem psal bylo to opraveno. (aspoň myslim)
No ja jsem ted zase nasel nekde ze to bylo z novych jader uplne odstranno a resi se to nejakym random pluginem nebo co....tak by me docela zajimalo jak to tedy je :)
Citace:
Původně odeslal Gregy