VLAN, NAT и promiscuous mode
Hi all.
Дано: исправно работавший гейт с нехитрым набором правил статического
NAT для исходящих соединений:
-A POSTROUTING -s 10.0.3.0/255.255.255.0 -o eth1 -p tcp -m tcp --dport
imaps -j SNAT --to-source 81.23.101.210
На провайдерском интерфейсе подняли VLAN'ы по 802.1q, чтобы разделить
его на Интернет и межофисный канал.
auto vlan274
iface vlan274 inet static
vlan-raw-device eth1
pre-up iptables-restore </etc/iptables.rules
address 81.23.101.210
netmask 255.255.255.252
gateway 81.23.101.209
mtu 1280
-A POSTROUTING -s 10.0.3.0/255.255.255.0 -o vlan274 -p tcp -m tcp
--dport imaps -j SNAT --to-source 81.23.101.210
Результат: соединение через SNAT работает только тогда, когда на
интерфейс напущен сниффер, "tcpdump -i vlan274". Если сниффера нет, то
соединение устанавливается, но данные не передаются.
Известно, что у провайдера, как это принято, имеется глюк с MTU в VLAN.
При стандартном MTU 1500 интерфейс именно так вёл себя (соединение есть,
данные не идут) на любом TCP, а не только на транслированном. Вылечено
"mtu 1280". Но при чём тут promiscuous mode и SNAT?
А.Л.
Reply to: