URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 92957
[ Назад ]

Исходное сообщение
"Вопрос по DNAT/SNAT"
Отправлено Aerodynamic , 30-Янв-12 10:01

Есть сервера предоставления доступа, которые предоставляют "белые" адреса людям путём преобразования "серых" адресов по технологии SNAT для трафика генерируемого абонентом и DNAT для трафика направленного к абоненту. Суть проблемы в том, что ответ на запрос может прийти на другой сервер, на котором нет информации о сессии абонента в таблице conntrack и, соответственно, ответ на втором сервере умирает. Возможно ли каким либо образом производить преобразование адресов не основываясь на табличке conntrack? Поскольку у меня есть конкретное сопоставление адресов "белый" и "серый" возможно преобразование адресов по табличе соответствия, не обращая внимания на сессию. Либо синхронизировать таблички conntrack между серверами, чтобы ответ пришедший на другой сервер был корректно отработан.
Вот примерная схема прохождения пакета в сети. http://clip2net.com/s/1xhbs

Содержание

Вопрос по DNAT/SNAT,PavelR, 10:55 , 30-Янв-12
- Вопрос по DNAT/SNAT,Aerodynamic, 09:04 , 31-Янв-12
  - Вопрос по DNAT/SNAT,PavelR, 09:07 , 31-Янв-12

Сообщения в этом обсуждении

"Вопрос по DNAT/SNAT"
Отправлено PavelR , 30-Янв-12 10:55

> Возможно ли каким либо образом производить преобразование
> адресов не основываясь на табличке conntrack? Поскольку у меня есть конкретное
> сопоставление адресов "белый" и "серый" возможно преобразование адресов по табличе соответствия,
> не обращая внимания на сессию.
iptables target NETMAP - не оно ? я не пробовал...
> Либо синхронизировать таблички conntrack между серверами,
> чтобы ответ пришедший на другой сервер был корректно отработан.
Вроде conntrackd для этого нужен.

"Вопрос по DNAT/SNAT"
Отправлено Aerodynamic , 31-Янв-12 09:04

>> Возможно ли каким либо образом производить преобразование
>> адресов не основываясь на табличке conntrack? Поскольку у меня есть конкретное
>> сопоставление адресов "белый" и "серый" возможно преобразование адресов по табличе соответствия,
>> не обращая внимания на сессию.
> iptables target NETMAP - не оно ? я не пробовал...
NETMAP немного не то, если мне память не изменяет он нужен именно для того, чтобы одну сеть странслировать в другую один к одному.
>> Либо синхронизировать таблички conntrack между серверами,
>> чтобы ответ пришедший на другой сервер был корректно отработан.
> Вроде conntrackd для этого нужен.
Conntrackd меня сильно заинтересовал, но не могу разобраться каким образом его настроить, чтобы транслировать сconntrack табличку на другой сервер.

"Вопрос по DNAT/SNAT"
Отправлено PavelR , 31-Янв-12 09:07

>>> Возможно ли каким либо образом производить преобразование
>>> адресов не основываясь на табличке conntrack? Поскольку у меня есть конкретное
>>> сопоставление адресов "белый" и "серый" возможно преобразование адресов по табличе соответствия,
>>> не обращая внимания на сессию.
>> iptables target NETMAP  - не оно ? я не пробовал...
> NETMAP немного не то, если мне память не изменяет он нужен именно
> для того, чтобы одну сеть странслировать в другую один к одному.
Сравните ваше:
> - у меня есть конкретное  сопоставление адресов "белый" и "серый"
> - NETMAP ... нужен именно для того, чтобы одну сеть странслировать в другую один к одному.
и добавьте, что можно сопоставить  1.2.3.4/32 + 192.168.0.5/32. Нет ?

> Conntrackd меня сильно заинтересовал, но не могу разобраться каким образом его настроить, чтобы транслировать сconntrack табличку на другой сервер.
ну так - разбирайтесь, документация должна отображать этот момент. Я не пользуюсь conntrackd.