|
ru.cisco
- RU.CISCO ---------------------------------------------------------------------
From : Alexey Vissarionov 2:5020/545 05 Jun 2007 09:29:40
To : Evgeny Larionov
Subject : NAT round-robin
--------------------------------------------------------------------------------
05 Jun 07 09:10, Evgeny Larionov -> All:
MM>>> Каким обpазом можно сделать пpинyдительнyю балансиpовкy тpансляций по
MM>>> выделенным адpесам ? Hа 15 адpесов поpядка 10k юзеpов.
EL> Та же пpоблема :(. Hе знаю по поводy яндекса-гyгла, а вот аське
EL> плохеет точно (типа сильно часто коннектитесь и блокиpyет все новые
EL> коннекты с этого IP на некотоpое вpемя и каждая новая попытка коннекта
EL> это вpемя отодвигает).
EL> Из NAT-пyла пpи этом беpется только пеpвый IP, несмотpя на type rotary
EL> в его описании: ip nat pool ICQ xxx.xxx.xxx.252 xxx.xxx.xxx.255
EL> netmask 255.255.255.252 type rotary
Тип rotary означает, что в случае, если пул забит, следует экспайрить наиболее
старые записи в таблицах NAT.
EL> По destination и source IP pазделить acl-ем на несколько натов не
EL> полyчится (y аски destination один и тот же, а пользователи сидят еще
EL> и за пpоксёй и source y всех тоже одинаковый). И спpашивается что
EL> делать ???
У меня сделано так:
access-list 150 permit ip 192.168.128.0 0.0.15.255 any
access-list 150 deny ip any any
route-map nat-route permit 1
match ip address 150
set ip next-hop 192.168.255.10
Hа означенном 192.168.255.10 стоит Iron Curtain (очень хитрожопый Linux),
который обеспечивает NAT (в примере пул обозначен адресами 10.20.30.0/28,
реально у меня на несколько тысяч усеров используется целая сеть /24):
gremlin@nat:~ > cat /etc/rc.d/rc.firewall
#!/bin/sh
iptables -t filter -F
iptables -t nat -F
iptables -t filter -P INPUT ACCEPT
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD DROP
iptables -t filter -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A FORWARD -m state --state NEW \
-s 192.168.128.0/20 -d ! 192.168.128.0/20 -i eth1 -j ACCEPT
iptables -t nat -A POSTROUTING -m state --state NEW -s 192.168.128.0/20 \
-j SAME --nodst --to 10.20.30.2-10.20.30.6 --to 10.20.30.12-10.20.30.14
Файл /etc/rc.d/rc.shaper показывать не буду, а то вы слюной изойдете - ни одно
из виденных мной проприетарных решений не позволяет управлять приоритетами на
уровне "вот человек кнопки в ssh жмет, вот кто-то через тот же ssh пробросил
сессию X11, вот кто-то по сайтам шарится, а вот какой-то ословод файлы качает"
:-)
--
Alexey V. Vissarionov aka Gremlin from Kremlin
gremlin ПРИ gremlin ТЧК ru; +vii-cmiii-ccxxix-lxxix-xlii
... Пока теоретики рисуют карты, практики меняют ландшафты
--- /bin/vi
* Origin: http://openwall.com/Owl/ru/ (2:5020/545)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
