|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Aleksey Barabanov 2:5020/400 07 Oct 2004 14:36:15
To : Vyacheslav Osokin
Subject : Re: iptables + NAT
--------------------------------------------------------------------------------
Vyacheslav Osokin wrote:
> Даже если будут разные сетевые интерфейсы и правила будут разные - это не
> поможет - проверено. Те пакеты, которые были занатчены ранее, даже после
> смены маршрута, продолжают натится под тем же SNAT, что и раньше, хотя уже
> идут по другому пути и на самом деле не удовлетворяют этим правилам в
> цепочке.
Потому что их коннтрак сразу перед манглом перехватывает.
> Во-вторых маршрут как раз меняется каждый раз. Сначала default на 1.1.1.1,
> потом на 2.2.2.2, потом обратно.
Так я и предлагаю наты не трогать, а вот маршруты менять. Тогда вы только
должны смириться с доживанием старых коннектов.
> ЗЫ: Вобщем очень не хватает возможности сбрасывать таблицу соединений
> принудительно. Как-то неправильно это. По логике разработчиков получается
Сброс таблицы коннтрака приведет к обрыву коннектов. Кстати точно также как
и смена исходящего адреса внутри одной tcp-сессии. А вот смена маршрута
может решить этот вопрос.
Короче, если ваш линукс-бокс работает как гейт.
1. Hатите ВСЕ пакеты на реальный адрес, но рутите все это на любой хост
внутри сети. Можно и через туннель.
2. Hа указанном хосте дефолтный роутинг ставите на другой адрес того-же
линукс-бокса. Можно и через туннель.
Таким образом ВСЕ пакеты попадут снова на роутинг.
> я
> должен перезагружать все модули nat и conntrack в ядре или перегружать
> целиком маршрутизатор только для того чтобы все соединения гарантированно
> работали по новым правилам SNAT.
Все равно старые соединения при такой перегрузке накроются.
--
Bye.
Aleksey Barabanov <alekseybb at mail.ru>
Отправлено через сервер Форумы@mail.ru - http://talk.mail.ru
--- ifmail v.2.15dev5.3
* Origin: home (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
