Re: Masquerading - что я делаю не так?
Stanislav Maslovski -> debian-russian@lists.debian.org @ Wed, 28 Jun 2006 08:24:13 +0400:
>> SM> Я бы к этому добавил, что, по сути, MASQUERADE подменяет исходный IP на IP
>> SM> того интерфейса, откуда пакет должен покинуть роутер. Последнее определяется
>> SM> на шаг раньше, на этапе маршрутизации. Например, возможна такая конфигурация
>> SM> роутера:
>>
>> SM> eth0 = сеть 10.0.0.0/8 (домонетка)
>> SM> ppp0 = сеть 192.168.1.0/24 (pptp на 10.x.y.z - выход в инет)
>> SM> ppp1 = сеть 192.168.255.0/24 (dial-in модем)
>>
>> SM> (настройку маршрутизации опустим)
>>
>> SM> Если теперь захотеть, чтобы по dial-in были доступны как домонетка, так и
>> SM> инет, и, плюс к тому, работал бы NAT на eth0 и ppp0, понадобится MASQUERADE.
>> SM> Поправьте меня, если я не прав.
>>
>> Ты не прав. Никто не мешает прописать два правила SNAT, различая их по
>> выходному интерфейсу.
SM> Ну да, так тоже можно. В моем посте следовало бы заменить в предпоследнем
SM> предложении "понадобится" на "удобно использовать". Кстати, кто-нибудь
SM> исследовал, насколько велик overhead от использования MASQUERADE?
Думаю, что на современном железе разве что на гигабитной сети можно
заметить. Второй вариант - если ты пытаешься сделать бесшумный роутер и
ставишь туда процессор типа P90 без кулера.
Правда, у MASQUERADE по сравнению со SNAT есть вроде бы еще один таракан
- при отпадании интерфейса он рвет все соединения. SNAT - нет. Для
ситуации типа "диалап с постоянным адресом", т.е. "потеряли соединение -
восстановили с тем же адресом" на более-менее регулярной основе это
может быть заметной разницей.
--
Artem Chuprina
RFC2822: <ran{}ran.pp.ru> Jabber: ran@jabber.ran.pp.ru
русская народная глупость
Кнышев
Reply to: