как в правиле ната указать на ис/вхо-ходящий трафик, прости?

ну например по срц. адресу

то есть ежели срц адрес=внешний айпи р1?

или не локальный

тоесть сначала правило для СРЦ, ната с срц. адресом Р1, потом правило для срц.ната для клиентов локлки Р1.

там же есть еще и канальные адреса сстп

то есть ежели срц адрес=внешний айпи р1?

ну типа да. 1. если срц. адрес="внешний адрес Р1" то екнш=срц.нат ту-порт=Х 2. если срц. адрес="Локалка за Р1" то екшн=срцнат ту-адрес="внешний адрес Р1". первым правилом мы меняем срц. порт для себя вторым правилом маскарадим(срцнатим) трафик из локалки(банальщина обычная)

и 1 и 2 это всё срц-нат?

Да. это правила на Р1. Второе правило это стандартный маскарадинг. Вся суть задачи в первом правиле

полностью оно должно выглядеть так: add action=src-nat chain=srcnat dst-port=443 protocol=tcp src-address=82.204.25.88 to-ports=999

а срц-порт в 1 правиле не нужно указывать? 443-й то

следовательно АУТПУТ к Р2 мы СРЦнатим ОПРЕДЕЛЕННЫМ портом(назовем это ПОРТ НОМЕР "Х"). На Р2 мы НАТим на ВВВ если СРЦ, ПОРТ НЕ "Х"

изящно

а срц-порт в 1 правиле не нужно указывать? 443-й то

ДСТ. мой друг, ДСТ. Напоминаю что по дефолту СРЦ порт рандомный.

а ну да это же вход

дст

тоесть ты к вебсерваку обращаешся не из 80 порта а из РАНДОМНОГО. Можешь поднять вайршарк или снифинг и глянуть

Идея более менее понятна?

Идея более менее понятна?

я щас её реализую

и пакте флоу буду смотреть

Идея более менее понятна?

в теории да

ужс. ты не забывай что тут от илльи еще одна задачка есть. ту что я нарисовал час назад тебе ?

тоже весёлая. там больше на размышлизмы и просмотр в вайршарке ?

я так и думал что порт надо подменять, только техническая реализация не совсем была ясна, ндао пробовать, пок аруки не попробуют мозги не поймут

и кстати с теми двумя правилами что я показал выше есть один нюанс

и кстати с теми двумя правилами что я показал выше есть один нюанс

исключение?

выше главного правила ната?

Порядок. "Сморти, Кутузов, не перепутай" ?. Тоесть сначала своему срц. адресу меняем и срц. порт и только потом трафику клиентов даем свой СРЦ. адрес ?

Порядок. "Сморти, Кутузов, не перепутай" ?. Тоесть сначала своему срц. адресу меняем и срц. порт и только потом трафику клиентов даем свой СРЦ. адрес ?

ну всё щас буду делать, надо сходить на прогулку, покушать и делать.

если чо я не при делах. ?

я только идею подал. за последствия я не отвечаю ?. я не тренер

если чо я не при делах. ?

это всё в лабе на еве :) последствий никаких

сначала ндоа добиться правды а затем уже можно её и оптимизировать :)

почему не использовать срц-нат если у тебя статичные айпи-адреса?

Для универсальности конфигурации. В подавляющем большинстве случаев разница будет неизмерима.

Для универсальности конфигурации. В подавляющем большинстве случаев разница будет неизмерима.

то есть слишком велика? или слишком низка?

Очевидно же, что столь мала, что не измеришь.

Алексей. ты пролабил уже?

не буду спорить, занят. есть мнение что маскарад лучше использовать в минимальных количествах.

маскарад это потоковое правило

Алексей. ты пролабил уже?

не, вот по работе опять завернули меня, лицухи пришли в vlsc щас активирую

его вообще надо использовать только в том случае если адрес может поменятся, во всех остальных src-nat

маскарад это потоковое правило

слышал что он как бы костыль срц-ната, для тех случпаев когда адреса не статичные

слышал что он как бы костыль срц-ната, для тех случпаев когда адреса не статичные

не костыль

Алексей. ты пролабил уже?

вот щас активирую и залаблю и твою задачку попробую объяснить

не костыль

ну как бы...

он создаёт для каждого соединения отд5ельный поток, и если адрес или состояние инетрфейса поменялось, то все соединения асоциированные с этим адресом удаляються из connection-tracker

его вообще надо использовать только в том случае если адрес может поменятся, во всех остальных src-nat

Как я уже написал ранее - разницы в производительности на практике почти не будет. А вот если выключить conntrack...

Как я уже написал ранее - разницы в производительности на практике почти не будет. А вот если выключить conntrack...

если выключить контракт НАТ вообще работать не будет

он создаёт для каждого соединения отд5ельный поток, и если адрес или состояние инетрфейса поменялось, то все соединения асоциированные с этим адресом удаляються из connection-tracker

Маскарад тут ни при чём. Это работа conntrack как такового.

Маскарад тут ни при чём. Это работа conntrack как такового.

нет, именно работа masuerade

вы не правы

Нет, работа conntrack как такового.

https://www.opennet.ru/docs/RUS/iptables/#MASQUERADETARGET

еще не читал, но вроде там описывалась разница с соурснатом

если выключить контракт НАТ вообще работать не будет

Да, в Mikrotik так, согласен.

Действие MASQUERADE имеет хорошее свойство - "забывать" соединения при остановке сетевого интерфейса. В случае же SNAT, в этой ситуации, в таблице трассировщика остаются данные о потерянных соединениях, и эти данные могут сохраняться до суток, поглощая ценную память. Эффект "забывчивости" связан с тем, что при остановке сетевого интерфейса с динамическим IP адресом, есть вероятность на следующем запуске получить другой IP адрес, но в этом случае любые соединения все равно будут потеряны, и было бы глупо хранить трассировочную информацию.

еще не читал, но вроде там описывалась разница с соурснатом

Единственное отличие srcnat от masquerade - lookup srcaddr при добавлении нового соединения в таблицу conntrack во втором случае.

Следовательно, пока не создаются тысячи новых соединений ежесекундно - разницы в производительности не будет.

ещёраз если смениться статус интерфейса, вы потеряете все соединения попавшие под маскарад

еще , наверное, зависит от количества адресов на интерфейсе

еще , наверное, зависит от количества адресов на интерфейсе

нет, просто берётся pref-source адрес

из таблицы маршрутизации

ещёраз если смениться статус интерфейса, вы потеряете все соединения попавшие под маскарад

ну это и было написано по линку что я бросил. Я так понимаю если у вас "флапнул" интерфейс то при срц.нате вы дальше продолжите работать. а при маскараде соеденения начнут устанавливаться наново

именно

Это уже свойство conntrack. А я говорил о том моменте времени, когда запись ещё не создана.

где-то на канале мума есть выступление о том что маскарад это зло

на импортном

ERROR: S client not available

Здравствуйте. Некоторое время назад спрашивал как подключить adsl к микротикам...Так вот, как оказалось adsl там нет и решили использовать hex poe с 3G/4G модемом. Вопрос вот какой, с какими моделями usb модемов микроты корректно работают и как обстоят дела с DynDNS'ом от DYN?

Товарищи, а те кто используют CHR пробрасывали ли WiFi карты в виртуалку?

Здравствуйте. Некоторое время назад спрашивал как подключить adsl к микротикам...Так вот, как оказалось adsl там нет и решили использовать hex poe с 3G/4G модемом. Вопрос вот какой, с какими моделями usb модемов микроты корректно работают и как обстоят дела с DynDNS'ом от DYN?

Свой же дин есть

Свой же дин есть

хардварный?

Свой же дин есть

Mikrotik Cloud - неудобная херня. Оно использует серийник в качестве имени хоста и изменить это нельзя.

Товарищи, а те кто используют CHR пробрасывали ли WiFi карты в виртуалку?

ну могу попробовать

ну могу попробовать

а какую будете пробовать?

Mikrotik Cloud - неудобная херня. Оно использует серийник в качестве имени хоста и изменить это нельзя.

ты собрался его запоминать?

а какую будете пробовать?

Хороший вопрос. надеюсь что на атеросе

ты собрался его запоминать?

Я ничего не собрался, мне вообще похуй - статика.

ну типа да. 1. если срц. адрес="внешний адрес Р1" то екнш=срц.нат ту-порт=Х 2. если срц. адрес="Локалка за Р1" то екшн=срцнат ту-адрес="внешний адрес Р1". первым правилом мы меняем срц. порт для себя вторым правилом маскарадим(срцнатим) трафик из локалки(банальщина обычная)

"Локалка за Р1" имеешь в виду всю сеть или лок адрес роутера?

сеть

Я ничего не собрался, мне вообще похуй - статика.

ну тогда не пофиг? записал в нужные места/скрипты и всё

я не в курю почему я на р2 посланый с р1 Х порт не дст-начу на ввв1?

убей меня

лоигка моя трещит

а какую будете пробовать?

ех, жаль, не помогу. только риалтековская лежит под рукой. атерос дома

я не в курю почему я на р2 посланый с р1 Х порт не дст-начу на ввв1?

потому что это пакет sstp-тунеля По условиям задача Р1 - это трафик только сстп тунеля Хост за Р1 - это трафик ВВВ на 443 порт

ну тогда не пофиг? записал в нужные места/скрипты и всё

А зачем вообще DNS-имя? ? Например, чтобы кому-нибудь дать. Как ни крути, govno.domain.com удобнее, чем 53ac31ebee2c13.domain.com.

А зачем вообще DNS-имя? ? Например, чтобы кому-нибудь дать. Как ни крути, govno.domain.com удобнее, чем 53ac31ebee2c13.domain.com.

как зачем? На случай адреса динамического

потому что это пакет sstp-тунеля По условиям задача Р1 - это трафик только сстп тунеля Хост за Р1 - это трафик ВВВ на 443 порт

с хоста за р1 трафик и так попадет по локальному адресу безо всяких пробросов, роут же есть

как бы не зубоскалил кеша о наркоманах но нормальные люди IPv4-адрес легко запоминают

с хоста за р1 трафик и так попадет по локальному адресу безо всяких пробросов, роут же есть

а ты представь что нету ? вот нету и всё

вот твоё первое правило гласит, что все пакетики с исходным адресом внешнего интерфейса р1 с дст-портом 443 будут подвержены подмене исходного порта на Х, то есть если р1 обратится куданибудь по 443 порту ему подменят срц-порт на Х?

а ты представь что нету ? вот нету и всё

ну и как он тогда законнектится на сстп-сервер, если тот ждет подключения по 443-му порту?

а что не так?

ты что ДСТ порт менял шоли?

ты СРЦ порт менял

еще раз - срц. порт может быть ЛЮБЫМ(ну относительно, ибо слать с порта на котором висит какой то сервис эт оне лучшее решение)

я понял

но не робит эта схема

еще раз - срц. порт может быть ЛЮБЫМ(ну относительно, ибо слать с порта на котором висит какой то сервис эт оне лучшее решение)

спрошу в личку