Тема: Re: NAT на NSG800

[ Следующие сообщения ] [ Продолжить тему ] [ NSG Forum ] [ FAQ ]

Сообщение прислал : V.Yurin on May 15, 2004 at 20:56:02:

In Reply to: NAT на NSG800 posted bymetaler on May 15, 2004 at 10:44:02:

: Hi ALL
: Такой вопрос: возможно-ли каким-нибудь образом прикрутить NAT не целиком к интерфейсу (как это описано в мануале) а к каждому из SECONDARY IP на этом интерфейсе.
: То есть мне нужно чтобы NAT вёл себя по-разному в зависимости от пункта назначения пакета...

В общем случае, если вы имеете в виду маскарадинг при выходе из приватной сети в интернет - такой вариант не предусмотрен. Эта реализация NAT умеет дифференцировать пакеты только по сети-источнику пакета.

Вероятно, такой сложный NAT удалось бы сваять штатными средствами IP в линуксовом софте (на NSG-800 он ставится, если надо), но пока - только вручную, средствами самого линуха и IPtables.

Обходной путь, похоже, все-таки есть - в прямом и переносном смысле. Попробуйте раскидать ваши пакеты по разным выходным интерфейсам и там натировать, на каждом по-своему. После этого пакеты завернуть обратно в маршрутизатор и передать куда надо. Для пробы можно это сделать, ради наглядности, через 2 физических порта и кросс-кабель; для работы, естественно, портов не напасешься - но есть же коммутатор X.25! Примерно в таком духе:

- убрать все secondary ip (чтобы не путаться с теми 4 маршрутами, которые создаются для них автоматически)

s i net:<адрес> mask:<маска> ip:6
- все пакеты с заданным назначением отправляем на IP-интерфейс с номером 6 (для примера, полагая, что первые пять у вас уже есть и привязаны к физическим портам)

s p ip:6 ty:x25 nat:yes
s n ip:6 eaddr:z.z.z.z .....
- натируем пакеты на этом интерфейсе как нам надо. Таблица NAT прописана явно, чтобы не путаться с маршрутами, которые ассоциированы с IP-адресами самих интерфейсов.

s p ip:7 ty:x25 .....
a p po:ip.6 ch:1 po:ip.7 ch:1
w s pvc
- используем X.25 PVC, чтобы завернуть весь трафик с ip:6 обратно в IP-маршрутизатор через ip:7. Собственные IP-адреса 6 и 7 интерфейсов - от балды, лишь бы они не путались с другими адресами.

s i filter pr:N in:7 out:X en:yes или
s i filter pr:N in:7 out:X/y.y.y.y en:yes
- все пакеты, поступающие через ip:7, сразу отправляем через интерфейс X (и можно - на определенный шлюз, если это интерфейс Ethernet и возможных шлюзов в той сети несколько; это вместо secondary IP).

s i net:z.z.z.z mask:255.255.255.255 ip:7
- обратный трафик, приходящий на NAT-овый адрес (eaddr), передаем на ip:7. Оттуда он возвращается на ip:6, где делается обратное преобразование адресов.

...и аналогично для всех сетей назначения, которые вас интересуют. Не забудьте s p ip:0 num:сколько_надо

см. часть 4 руководства, пп.4.1.10, 4.2.2, 4.3.2, 4.4.2 и 4.5. Громоздко, неэффективно, но работать вроде должно.

Следующие сообщения

Re: NAT на NSG800 woman-old 9/04/2004 (0)

Продолжить тему

Name:
E-Mail:

Subject:

Comments:: : Hi ALL : : Такой вопрос: возможно-ли каким-нибудь образом прикрутить NAT не целиком к интерфейсу (как это описано в мануале) а к каждому из SECONDARY IP на этом интерфейсе. : : То есть мне нужно чтобы NAT вёл себя по-разному в зависимости от пункта назначения пакета... : В общем случае, если вы имеете в виду маскарадинг при выходе из приватной сети в интернет - такой вариант не предусмотрен. Эта реализация NAT умеет дифференцировать пакеты только по сети-источнику пакета. : Вероятно, такой сложный NAT удалось бы сваять штатными средствами IP в линуксовом софте (на NSG-800 он ставится, если надо), но пока - только вручную, средствами самого линуха и IPtables. : Обходной путь, похоже, все-таки есть - в прямом и переносном смысле. Попробуйте раскидать ваши пакеты по разным выходным интерфейсам и там натировать, на каждом по-своему. После этого пакеты завернуть обратно в маршрутизатор и передать куда надо. Для пробы можно это сделать, ради наглядности, через 2 физических порта и кросс-кабель; для работы, естественно, портов не напасешься - но есть же коммутатор X.25! Примерно в таком духе: : - убрать все secondary ip (чтобы не путаться с теми 4 маршрутами, которые создаются для них автоматически) : s i net:<адрес> mask:<маска> ip:6 : - все пакеты с заданным назначением отправляем на IP-интерфейс с номером 6 (для примера, полагая, что первые пять у вас уже есть и привязаны к физическим портам) : s p ip:6 ty:x25 nat:yes : s n ip:6 eaddr:z.z.z.z ..... : - натируем пакеты на этом интерфейсе как нам надо. Таблица NAT прописана явно, чтобы не путаться с маршрутами, которые ассоциированы с IP-адресами самих интерфейсов. : s p ip:7 ty:x25 ..... : a p po:ip.6 ch:1 po:ip.7 ch:1 : w s pvc : - используем X.25 PVC, чтобы завернуть весь трафик с ip:6 обратно в IP-маршрутизатор через ip:7. Собственные IP-адреса 6 и 7 интерфейсов - от балды, лишь бы они не путались с другими адресами. : s i filter pr:N in:7 out:X en:yes или : s i filter pr:N in:7 out:X/y.y.y.y en:yes : - все пакеты, поступающие через ip:7, сразу отправляем через интерфейс X (и можно - на определенный шлюз, если это интерфейс Ethernet и возможных шлюзов в той сети несколько; это вместо secondary IP). : s i net:z.z.z.z mask:255.255.255.255 ip:7 : - обратный трафик, приходящий на NAT-овый адрес (eaddr), передаем на ip:7. Оттуда он возвращается на ip:6, где делается обратное преобразование адресов. : ...и аналогично для всех сетей назначения, которые вас интересуют. Не забудьте s p ip:0 num:сколько_надо : см. часть 4 руководства, пп.4.1.10, 4.2.2, 4.3.2, 4.4.2 и 4.5. Громоздко, неэффективно, но работать вроде должно.

Optional Link URL:
Link Title:
Optional Image URL:

[ Follow Ups ] [ Post Followup ] [ NSG Forum ] [ FAQ ]