Re: Real IP behind NAT
Slava Astashonok:
> Alexander wrote:
> > Под "сажать" я имел ввиду, что на наружном интерфейсе роутера будет его
> > (роутера) IP, а так-же по алиасу на каждый IP который надо будет
передавать
> > на внутренний хост (должен же роутер их как-то отличать друг от друга, и
> > принимать пакеты для них?)
>
> Именно об этом я писал. Не надо никаких алиасов. По той же причине по
> которой не нужно вешать все возможные Интернет-адреса на внутренний
> интерфейс роутера. Не верите - проверьте.
Алиасы - на внешний, а на внутреннем будет только приватный адрес рутера,
aka gateway для внутренних компов на приватном сегменте.
Проверить на самом деле не сложно, но интереснее получить ответ на вопрос
"как" через вопрос "почему". Вера - невера тут как-то неуместна :)
Я извиняюсь за тупость, если это так тривиально, то отошлите к
соответствующим докам.
"iptables -A PREROUTING -t nat -d ext_ip -j DNAT --to-destination int_ip"
заставит роутер ловить
пакеты аки снифер? Без arp (или там все сами сориентируются?), а если
снаружи не хаб а свич стоит? (собственно, стоит, ублюдок какой-то из-под
cisco, хаб на тех масштабах сдох бы).
Я потому про алиасы и толкую, чтоб рутер на броадкасты по arp культурно так
отвечал, пакеты с такоим адресом это ко мне, у меня MAC такой-то.
В моем случае топология такая:
Сегмент ethernet с публичными адресами, сегмент огромный, перемешаны 2 или 3
класса C (причем неполных), хостов на 200.
Частью сегмента является n-ное кол-во машин, опять таки с публичными
адресами, физически находящиеся в одном месте.
Задача: запихать их всех за NAT, но так чтобы не добавлять головной боли
админам "большого" сегмента (им и так несладко), и сохраняя доступ к
некоторым из компов по их публичному адресу, с возможностью фильтрации
нежелательного трафика (соседи больно шустрые, чуть что не порпатчишь
вовремя, так они скопом лезут, наверное упущение поправить)
Ну, и внутри вкусностей всяких понаделать, NFS там, NIS, DHCP...
Reply to: