Iptables, NAT, náhodná veřejná ip

[Airwolf]

Ten zapis neriesi to co chcel Gregy.

Aby sa nahodne vyberali verejne ipky tak to asi jednine nejakym scriptom ale pokial to chces nastavit na tvrdo tak najskor definuj ze vsetky ipky ktore nebudu definove inak pojdu cez jednu verejnu ipku

iptables -t nat -A POSTROUTING -o ethx -j MASQUERADE

kde ethx je sietovka do netu a MASQUERADE je je vlastne SNAT ale neurcujes ipku teda pouzije tu ktora je primarna.

a potom ludi ktori maju mat vlastne verejne ipky tak definujes
iptables -t nat -I POSTROUTING -s ipka_usera_privatna -j SNAT --to ipka _verejna
iptables -t nat -A PREROUTING -d ipka_verejna -j DNAT --to ipka_usera_privatna

pre kazdeho ktory bude mat verejnu ipku treba tieto dve pravidla samozrejme ze tieto ipky treba nahodit na iface lebo inak to fungovat nebude

Ale resi. To co tu pises ty, jednak
a) vetsine klientu prirazuje jednu konkretni IP a to stale
b) "vip" klientum urcuje jednu konkretni IP pro kazdeho jinou a to stale

Gregy chtel nahodne generovat IP adresu bez konkretniho urcovani, co kdo ma dostat vcetne neustale zmeny teto IP

[Gregy]

Ale resi. To co tu pises ty, jednak
a) vetsine klientu prirazuje jednu konkretni IP a to stale
b) "vip" klientum urcuje jednu konkretni IP pro kazdeho jinou a to stale

Gregy chtel nahodne generovat IP adresu bez konkretniho urcovani, co kdo ma dostat vcetne neustale zmeny teto IP

Přesně tak. To tve XanFX zamaskuje všechny kromě vyvolených za jednu ip. To nechci.

EDIT: Tak jsem si o tom jeste víc hledal a zjistil jsem že toto může způsobit že na jednom PC bude mít každé spojení jinou adresu. S tim by mohl mít nějaký software problém. Není nějaký způsob jak to udělat podle vnitřních adres a ne podle spojení?

[admix]

Pak zbyva asi jen rozdelit to podle IP adres zevnitr, tj. dat je jako podminku, a kazde priradit napevno jinou adresu .. Mimoto nevidim zadny duvod, proc by mel router jednoho klienta maskovat pokazde za jinou IP

[Gregy]

No tak neni to podmínka, ale dělat 800 pravidel ve firewallu se mi nechce...tak sem se to snažil nějak vyřešit. Není potřeba náhodnost. Šlo by to vyřešit tak že ty pravidla něčim vygeneruju ale přesně to řešení co dal Airvolf je takové elegantnější až na to maskování podle spojení a ne podle adres.

P.S. Tak to vypadá že si tohoto problému už někdo všiml

[PATCH] Remove Randomness in Selecting NAT IP Address

We currently choose a "random" IP address to NAT to, where we have a
range. Martin Josefsson pointed out that he uses the SAME target in
iptables because changing IP addresses breaks Internet banking sites
(among others) which assume the customer will be coming from a
consistent IP address.

In fact, we spend a fair bit of effort trying to balance the number of
connections we NAT to each IP address. We can come pretty damn close
just hashing the source and destination IP addresses, and it has the
consistency property which is so desirable, as well as being faster."

Doufám že je to to co potřebuju a nepochopil jsem to špatně

[admix]

No a co treba udelat jen x pravidel (x je pocet IP) a rozdelit klienty do skupin a kazdou skupinu schovat za jednu IP? ))

[Jezevec]

Netvrdim ze na 100%, ale s vysokou pravdepodobnosti pokud negenerujes pravidla obsahujici konkretni porty, tak si tux do tabulky zapise kombinaci prideleny verejny/privatni IP a tu pak pouziva dokud nevytimeoutuje. Takze pravdepodobnost, ze by kazda konexe mela jinou IP je miziva.

Mimochodem, pokud mas 1000 kompu, tak si pozadej o vlastni rozsah. V tomhle mnoztvi by nemel bejt problem ziskat min 8x Ccko (/21) a ISP ti to pak jen naroutuje + muzes mit i vicero poskytovatelu konektivity.

[Gregy]

Netvrdim ze na 100%, ale s vysokou pravdepodobnosti pokud negenerujes pravidla obsahujici konkretni porty, tak si tux do tabulky zapise kombinaci prideleny verejny/privatni IP a tu pak pouziva dokud nevytimeoutuje. Takze pravdepodobnost, ze by kazda konexe mela jinou IP je miziva.

Mimochodem, pokud mas 1000 kompu, tak si pozadej o vlastni rozsah. V tomhle mnoztvi by nemel bejt problem ziskat min 8x Ccko (/21) a ISP ti to pak jen naroutuje + muzes mit i vicero poskytovatelu konektivity.

Tak teď jsem zmaten, 8x C? To je nějak hodně ne? A není C /24? Já sem žádal o 2x C a dali mi C a půl a o víc nechtěli slyšet.

[Petrik]

Napada te nejaky soft, ktery by s tim mohl mit problem? Predpokladam, ze nejsi sam, kdo resi tento problem a to reseni s SNAT a rozsahem IP adres je velmi standardni reseni a kdyby to zpusobovalo nejake problemy, urcite by to by kernel vyvojari nejak vyresili... ja bych se toho rozhodne nebal.

Přesně tak. To tve XanFX zamaskuje všechny kromě vyvolených za jednu ip. To nechci.

EDIT: Tak jsem si o tom jeste víc hledal a zjistil jsem že toto může způsobit že na jednom PC bude mít každé spojení jinou adresu. S tim by mohl mít nějaký software problém. Není nějaký způsob jak to udělat podle vnitřních adres a ne podle spojení?

[Gregy]

Pokud více spojení na jeden server má jiné IP adresy tak třeba v případě www serveru banky může dojít k odhlášení kvůli podezření na krádež session (nebo něčeho jineho netušim jak to banky dělaj). Jinak jak už jsem psal bylo to opraveno. (aspoň myslim)

[Petrik]

No ja jsem ted zase nasel nekde ze to bylo z novych jader uplne odstranno a resi se to nejakym random pluginem nebo co....tak by me docela zajimalo jak to tedy je

Pokud více spojení na jeden server má jiné IP adresy tak třeba v případě www serveru banky může dojít k odhlášení kvůli podezření na krádež session (nebo něčeho jineho netušim jak to banky dělaj). Jinak jak už jsem psal bylo to opraveno. (aspoň myslim)

[XanFX]

Ale resi. To co tu pises ty, jednak
a) vetsine klientu prirazuje jednu konkretni IP a to stale
b) "vip" klientum urcuje jednu konkretni IP pro kazdeho jinou a to stale

Gregy chtel nahodne generovat IP adresu bez konkretniho urcovani, co kdo ma dostat vcetne neustale zmeny teto IP

No sorac nejako som tam prehliadol slovicko za. Ja som bol vtom ze chce ludi s verejnimi ipkami preto my neslo do hlavy ze nato staci iba SNAT.

Na druhu stranu som to nejako nepochopil lebo chaoticky "porozhadzovat" 254 verejnych ipkiek je nejake divne.