Вопрос по NAT

snat ?

Што есть статический нат? Маппинг 192.168.0.1/24 на 10.0.0.0/24 чтоли?

а в чем проблема? ipt -t nat -A POSTROUTING -o eth0 -s 192.168.0.1/24 -p tcp -j MASQUERADE ну и несколько правил на форвардинг,не?

если я через iptables сделаю snat $IPT -t nat -A POSTROUTING -s $LAN_IP_RANGE -j SNAT --to-source $INET_IP

разве это не будет использование PAT???

ну да или -j SNAT

Так это же будет реализация с PAT, то есть так называемый перегруженный NAT, а нужно статический.

это все зависит от того, что он называет снат, а что пат. дело в том, что разные вендоры/учебники/инструменты подразумевают под этими словами чуть-ли не противополжные вещи.

О ужас!!!!! SNAT - Static Network Address Translation

ага. и что это значит, а? вот в айпитейблес - оно понятно. но не факт что речь об айпитейблс

Это не про iptables Существует 3 базовых концепции трансляции адресов: статическая (Static Network Address Translation), динамическая (Dynamic Address Translation), маскарадная (NAPT, NAT Overload, PAT).

давай лучше послушаем, что по этому поводу думает ТС, и ответим ей в ее терминах. потому что есть огромная вероятность, что вы используете один и тот же термин в разных значениях. сравни для примера Таненбаума, документацию Циско, документацию Джунипера и МС, Олиферов, Гольдштейнов, Стивенса..

вообщем есть прегруженный NAT и нужно организовать без него думаю он понимает под этим следующие

прегруженный NAT - форма динамического NAT, который отображает несколько незарегистрированных адресов в единственный зарегистрированный IP адрес, используя различные порты. Известен также как PAT (Port Address Translation)

Речь не идет про iptables, а про саму технологию NAT

Тебе ж русским языком говорят: чтобы клиенты не чувствовали никаких ограничений и порты при этом оставались постоянными, нужно мапить исходные адреса в подсеть того же размера.

Тебе ж русским языком говорят: чтобы клиенты не чувствовали никаких ограничений и порты при этом оставались постоянными, нужно мапить исходные адреса в подсеть того же размера.

Я так понимаю это будет динамический NAT?

перегруженный nat это и есть маскарадинг. Вобщем ответ на твой вопрос такой - нужен SNAT потому что есть статический ip на внешнем интерфейсе и все.

> тобы клиенты не чувствовали никаких ограничений и порты Такого условия небыло

перегруженный nat это и есть маскарадинг. Вобщем ответ на твой вопрос такой - нужен SNAT потому что есть статический ip на внешнем интерфейсе и все.

В том то и дело что нужно без прегруженного NATa сделать

Трансляция адресов подразумевается, да? Я ничего не понял.

Всем отозвавшимся огромное спасибо!!! Завтра пойду к преподу с ответом: нельзя использую статический NAT решить данную задачу т.к. Статический NAT - Отображение незарегистрированного IP адреса на зарегистрированный IP адрес на основании один к одному.

Хотя он и утверждает, что возможно!!! И даже говорит, что у нас на кафедре это реализовано (интересно будет посмотреть).

Завтра отпишусь

> Трансляция адресов подразумевается, да? Я ничего не понял.

Она самая

проблема не в этом. при маппинге один-к-одному, который подразумевается при СНАТ, первый же запрос от того же исходного порта (при любом исходном айпишнике), как уже используемый, произойдет коллизия исходных портов и устройство, выполняющее нат не будет в состоянии надежно определить получателя ответного пакета. делаю поправку на слово «надежно», так как в принципе для этого можно использовать секвенс намберы, но это очень не надежно. в любом случае, это чисто теоретическое ментальное упражнения, на практике так никто не делает.

>в любом случае, это чисто теоретическое ментальное упражнения, на практике так никто не делает.

Совершенно согласен

>Она самая

Неправильно выразился. Проброс адресов он имеет в виду или что?

Если провайдерский IP постоянный, то лучше так:

#!/bin/sh
LOCNET=192.168.0.1/24
EXTIP=10.0.0.2
EXTINT=eth0
iptables -t nat -A POSTROUTING -o $EXTINT -s $LOCNET -d ! $LOCNET -j SNAT --to-source $EXTIP

Если провайдерский IP каждый раз разный (динамический), то:

#!/bin/sh
LOCNET=192.168.0.1/24
EXTINT=eth0
iptables -t nat -A POSTROUTING -o $EXTINT -s $LOCNET -d ! $LOCNET -j MASQUERADE

Первый способ работает быстрее, маскарад - универсальнее.

Ну и FORWARD-цепочки тоже нужно разрешить. В простейшем случае так:

#!/bin/sh
LOCNET=192.168.0.1/24
EXTINT=eth0
LOCINT=eth1
iptables -A FORWARD -i $LOCINT -o $EXTINT -s $LOCNET -j ACCEPT     
iptables -A FORWARD -i $EXTINT -o $LOCINT -m state --state ESTABLISHED,RELATED -j ACCEPT

Отпишись потом что препод сказал, как у них реализовано интересно

Ответ препода:

я вам зачту потому что возникло недопонимание с обеих сторон.

Собственно вот и все)) Скорей всего препод загнался во время формулировки вопроса)) Так что реализацию увидеть видать не судьба, но подозреваю что там маппинг 192.168.0.1/24 на 10.0.0.0/24, хотя просил всех выпустить через один IP да еще без PAT, и делал на этом акцент.

Всем спасибо за помощь!!!

Что за PAT, такой? DNAT?

Нужно было сдавать на 5+ и предложить поставить прокси. NATа вообще не будет.