sslug-teknik team mailing list archive

[Donald J Axel <donax@xxxxxx>]

On Wed, 7 Dec 2011 01:04:12 +0100
Donald J Axel <donax@xxxxxx> wrote:

> On Tue, 6 Dec 2011 18:05:35 +0100
> Jeppe Koefoed <jeppe@xxxxxxx> wrote:
> 
> > > På en af serverne hos amsat.dk, der alle er IPv6-tilgængelige,
> > > har jeg behov for at kunne sende HTTP-trafik fra en af
> > > serverne (der ikke kører en webserver) til den designerede
> > > webserver.
> > > 
> > > Med IPv4 er det ikke noget problem - en passende SNAT i
> > > 'nat'-tabellen med iptables er nok.
> > > 
> > > Men ip6tables har ikke en 'nat' tabel. Er der nogen af jer
> > > tilsammen alvidende mennesker, der ved, hvordan man så gør?
> > > Kan der laves noget med 'mangle'?
> > > 
> > > Bent
> 
> Forstår jeg det rigtigt, så vil du have at indkommende trafik til
> IP x modtages på interface m. x-adressen og dér er så en tabel,
> som siger at hvis det er til port 80 så skal det videre til
> maskine y:/80 eller anden port whatever.
> 
> Gad vide om du ikke her er rendt ind i et af de tilfælde, hvor
> IPv6 ikke kan det samme som IPv4? Jeg tror ikke du kan
> source-natte eller noget lignende. Da det interesserer mig, har
> jeg lige Googlet:
> http://en.gentoo-wiki.com/wiki/Shorewall#Source_NAT
> 
> men det giver ikke direkte svar på om der er en IPv6 løsning på
> den opgave.
> 
> På store IPv4 services (mange hundrede hits i sekundet) skal man
> kunne fordele fra en front til flere back-ends (load balancing),
> og det foregår ved NAT med en eller anden form for
> connection-tracking.
> 
> Ud fra http://en.wikipedia.org/wiki/Network_address_translation
> gætter jeg at det ikke er muligt på samme måde (man må bruge et
> stykke user-space software i stedet).
> 
> https://www.varnish-cache.org/trac/wiki/LoadBalancing
> Varnish has a built in load balancer. Use this if you have more
> then one origin server. Using this is quite easy. You start up by
> declaring more then one backend server. We add a probe object to
> each backend to let varnish check the health of the objects. 
> 
> Håber vi finder ud af noget mere præcist./Donald

Jeg kunne ikke slippe det. Er du sikker på at du mener en
snat-entry i iptables-listen eller er det en trykfejl? Wikipedia
NAT artikelen siger terminilogien er varierende, men bruger denne
klare måde at omtale tingene: Destination NAT (DNAT) bliver
almindeligvis brugt til at offentliggøre en service (der befinder
sig på et privat netværk) på et globalt tilgængeligt IP-nummer.
Denne brug af DNAT kaldes også "port forwarding" eller DMZ
(De-Militarized-Zone) når det bruges på en hel server, som er
exponeret udad på et ikke forsvaret WAN (...)


[quote:]

Destination network address translation (DNAT)

DNAT is a technique for transparently changing the destination IP
address of an en-route packet and performing the inverse function
for any replies. Any router situated between two endpoints can
perform this transformation of the packet.

DNAT is commonly used to publish a service located in a private
network on a publicly accessible IP address. This use of DNAT is
also called port forwarding, or DMZ when used on an entire server,
which becomes exposed to the WAN, becoming analogous to an
undefended military demilitarised zone (DMZ).

SNAT

The meaning of the term SNAT varies by vendor. Many vendors have
proprietary definitions for SNAT. A common expansion is source NAT,
the counterpart of destination NAT (DNAT). Microsoft uses the
acronym for Secure NAT, in regard to the ISA Server. For Cisco
Systems, SNAT means stateful NAT.


-- 
Donald Axel <donax@xxxxxx>