VLAN, NAT и promiscuous mode

To: debian <debian-russian@lists.debian.org>
Subject: VLAN, NAT и promiscuous mode
From: Alexey Lobanov <a.lobanov@gctrials.com>
Date: Mon, 12 Jan 2009 18:53:45 +0300
Message-id: <496B6789.9090409@gctrials.com>
Reply-to: debian <debian-russian@lists.debian.org>

Hi all.

Дано: исправно работавший гейт с нехитрым набором правил статическогоNAT для исходящих соединений:

-A POSTROUTING -s 10.0.3.0/255.255.255.0 -o eth1 -p tcp -m tcp --dportimaps -j SNAT --to-source 81.23.101.210

На провайдерском интерфейсе подняли VLAN'ы по 802.1q, чтобы разделитьего на Интернет и межофисный канал.


auto vlan274
iface vlan274 inet static
        vlan-raw-device eth1
        pre-up iptables-restore </etc/iptables.rules
        address 81.23.101.210
        netmask 255.255.255.252
        gateway 81.23.101.209
        mtu 1280

-A POSTROUTING -s 10.0.3.0/255.255.255.0 -o vlan274 -p tcp -m tcp--dport imaps -j SNAT --to-source 81.23.101.210

Результат: соединение через SNAT работает только тогда, когда наинтерфейс напущен сниффер, "tcpdump -i vlan274". Если сниффера нет, тосоединение устанавливается, но данные не передаются.

Известно, что у провайдера, как это принято, имеется глюк с MTU в VLAN.При стандартном MTU 1500 интерфейс именно так вёл себя (соединение есть,данные не идут) на любом TCP, а не только на транслированном. Вылечено"mtu 1280". Но при чём тут promiscuous mode и SNAT?


А.Л.

Reply to:

Follow-Ups:
- Re: VLAN, NAT и promiscuous mode
  - From: Eugene Berdnikov <bd4@protva.ru>

Prev by Date: Re: modem on lenovo r61
Next by Date: Re: modem on lenovo r61
Previous by thread: Re: apt-file.conf
Next by thread: Re: VLAN, NAT и promiscuous mode
Index(es):
- Date
- Thread