LINUX-BG   Adres : http://www.linux-bg.org
Smiana na IP blok
Ot: Vladsun
Publikuvana na: 9-09-2006
Adres na statiiata: http://www.linux-bg.org/cgi-bin/y/index.pl?page=article&id=advices&key=385242121
Naskoro mi se nalozhi da resha sledniia problem:
- poluchihme edna /22 mrezha ot IP-ta;
- triabvashe da vurnem 3 /24 mrezhi na nashiia dostavchik;
- potrebitelite sa sus statichno zadavane na IP nastroikite;
- IP-tata na nashite mail, www, dns i t.n. survuri sushto triabvashe da budat smeneni;
- srokut za izpulnenie na gornoto beshe edna sedmitsa (sled tova zaminavah na more :):) );
- nevuzmozhno beshe v tozi period da smenim nastroikite na vsichki potrebiteli;

Eto kakvo uspiah da sutvoria:

Purvata Vi rabota e da smenite TTL-a na zonite v DNS survura s mnogo malki stoinosti - prim. 10 sek. (blagodaria, V. Kolev) za da mozhe da se poluchi malko vreme za razprostranenie na novite adresi. Tova se pravi sus starite zoni i vuzmozhno nai-rano predi smianata na IP adresite (v idealniia sluchai - vremeto ot smianata na TTL do smianata s novite zoni da e po-golmo ot stariia TTL). Sled kato smenite adresite mozhete spokoino da vurnete TTL-a na zonite kum normalnite stoinosti.

Sled tova "mapvame" starite mrezhi kum novite:

Primeren kod 
iptables -t nat -A POSTROUTING -o eth0 -s old_net/24 -j NETMAP --to new_net/24
 iptables -t nat -A PREROUTING -i eth0 -d new_net/24 -j NETMAP --to old_net/24
Pri men eth0 e vunshniiat interfeis, eth1 vutreshniiat.

Dotuk vsichko veche e resheno i shte raboti, no vuznikva sledniiat problem:
- mashinite, na koito sa im smeneni nastroikite s novite IP-ta niamat dostup do internet zaradi vtoroto pravilo.

Izbraniiat ot men variant beshe da se napravi spisuk sus smenenite IP-ta i te da se ACCEPT-vat v "-t nat, PREROUTING, -i eth0" predi mapvaneto. T.e:

Primeren kod 
iptables -t nat -I PREROUTING -i eth0 -d new_ip1 -j ACCEPT
 iptables -t nat -I PREROUTING -i eth0 -d new_ip2 -j ACCEPT

Mnogo po dobri rezultati se poluchavat, ako se izpolzva IPSET. Togava:
Primeren kod 
ipset -N new_net_set ipmap --network new_net/24
 iptables -t nat -I PREROUTING -i eth0 -m set --set new_net_set dst -j ACCEPT
 
 ipset -A new_net_set new_ip1
 ipset -A new_net_set new_ip2

Poluchiha se obache oplakvaniia, che file transfer-a na produkti kato ICQ i IRC ne raboti. Vse pak tova vremenno reshenie si svurshi rabotata, dokato se smeniat nastroikite na vsichki potrebiteli.

PP: Mnogo vnimavaite da niama target NOTRACK - skapva tseliia NETMAP.

<< Suhranenie na poveritelna informatsiia v BD | squid (malko uputvane) >>

Avtorite na saita, kakto i tehnite sutrudnitsi zapazvat avtorskite prava vurhu sobstvenite si materiali publikuvani tuk, no te sa copyleft t.e. mogat svobodno da budat kopirani i razprostraniavani s iziskvaneto izrichno da se upomenava imeto na avtora, kakto i da se publikuva na vidno miasto, che te sa vzeti ot originalniia im URL-adres na tozi survur (http://www.linux-bg.org). Avtorskite prava na prevodnite materiali prinadlezhat na tehnite avtori. Ako s publikuvaneto tuk na niakakuv material nevolno sa narusheni nechii prava - sled konstatiraneto na tozi fakt materialut shte bude svalen.

All trademarks, logos and copyrights mentioned on this site are the property of their respective owners.
Linux is copyright by Linus Torvalds.
© Linuks za bulgari EOOD 2007
© Slavei Karadjov 1999 - 2006

All rights reserved.

Изпълнението отне: 1 wallclock secs ( 0.16 usr + 0.02 sys = 0.18 CPU)