Iptables, NAT, náhodná veřejná ip

[Airwolf]

## Změň zdrojové adresy na 1.2.3.4, 1.2.3.5 nebo 1.2.3.6
# iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 1.2.3.4-1.2.3.6

[Gregy]

## Změň zdrojové adresy na 1.2.3.4, 1.2.3.5 nebo 1.2.3.6
# iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 1.2.3.4-1.2.3.6

Dík ještě dotaz, nebude to náhodou narušovat spojení? aby to každému paketu ve spojení nedalo jinou zdrojovou ip.

[Petrik]

Nemej strach, linux je inteligentni OS

Dík ještě dotaz, nebude to náhodou narušovat spojení? aby to každému paketu ve spojení nedalo jinou zdrojovou ip.

[Gregy]

OK díky moc

[XanFX]

Ten zapis neriesi to co chcel Gregy.

Aby sa nahodne vyberali verejne ipky tak to asi jednine nejakym scriptom ale pokial to chces nastavit na tvrdo tak najskor definuj ze vsetky ipky ktore nebudu definove inak pojdu cez jednu verejnu ipku

iptables -t nat -A POSTROUTING -o ethx -j MASQUERADE

kde ethx je sietovka do netu a MASQUERADE je je vlastne SNAT ale neurcujes ipku teda pouzije tu ktora je primarna.

a potom ludi ktori maju mat vlastne verejne ipky tak definujes
iptables -t nat -I POSTROUTING -s ipka_usera_privatna -j SNAT --to ipka _verejna
iptables -t nat -A PREROUTING -d ipka_verejna -j DNAT --to ipka_usera_privatna

pre kazdeho ktory bude mat verejnu ipku treba tieto dve pravidla samozrejme ze tieto ipky treba nahodit na iface lebo inak to fungovat nebude

[Airwolf]

Ten zapis neriesi to co chcel Gregy.

Aby sa nahodne vyberali verejne ipky tak to asi jednine nejakym scriptom ale pokial to chces nastavit na tvrdo tak najskor definuj ze vsetky ipky ktore nebudu definove inak pojdu cez jednu verejnu ipku

iptables -t nat -A POSTROUTING -o ethx -j MASQUERADE

kde ethx je sietovka do netu a MASQUERADE je je vlastne SNAT ale neurcujes ipku teda pouzije tu ktora je primarna.

a potom ludi ktori maju mat vlastne verejne ipky tak definujes
iptables -t nat -I POSTROUTING -s ipka_usera_privatna -j SNAT --to ipka _verejna
iptables -t nat -A PREROUTING -d ipka_verejna -j DNAT --to ipka_usera_privatna

pre kazdeho ktory bude mat verejnu ipku treba tieto dve pravidla samozrejme ze tieto ipky treba nahodit na iface lebo inak to fungovat nebude

Ale resi. To co tu pises ty, jednak
a) vetsine klientu prirazuje jednu konkretni IP a to stale
b) "vip" klientum urcuje jednu konkretni IP pro kazdeho jinou a to stale

Gregy chtel nahodne generovat IP adresu bez konkretniho urcovani, co kdo ma dostat vcetne neustale zmeny teto IP

[Gregy]

Ale resi. To co tu pises ty, jednak
a) vetsine klientu prirazuje jednu konkretni IP a to stale
b) "vip" klientum urcuje jednu konkretni IP pro kazdeho jinou a to stale

Gregy chtel nahodne generovat IP adresu bez konkretniho urcovani, co kdo ma dostat vcetne neustale zmeny teto IP

Přesně tak. To tve XanFX zamaskuje všechny kromě vyvolených za jednu ip. To nechci.

EDIT: Tak jsem si o tom jeste víc hledal a zjistil jsem že toto může způsobit že na jednom PC bude mít každé spojení jinou adresu. S tim by mohl mít nějaký software problém. Není nějaký způsob jak to udělat podle vnitřních adres a ne podle spojení?

[XanFX]

Ale resi. To co tu pises ty, jednak
a) vetsine klientu prirazuje jednu konkretni IP a to stale
b) "vip" klientum urcuje jednu konkretni IP pro kazdeho jinou a to stale

Gregy chtel nahodne generovat IP adresu bez konkretniho urcovani, co kdo ma dostat vcetne neustale zmeny teto IP

No sorac nejako som tam prehliadol slovicko za. Ja som bol vtom ze chce ludi s verejnimi ipkami preto my neslo do hlavy ze nato staci iba SNAT.

Na druhu stranu som to nejako nepochopil lebo chaoticky "porozhadzovat" 254 verejnych ipkiek je nejake divne.