Discussion:
Afzender IP fout
(te oud om op te antwoorden)
Paul van der Vlis
2010-12-10 10:20:43 UTC
Permalink
Hallo,

Voor een school heb ik een router/firewall gemaakt, deze werkt, maar de
internet verbinding is (voor mij) wel wat speciaal.

Er zijn 3 actieve ethernet poorten:

eth0, internet:
address 213.178.115.254
gateway 213.178.115.253
netmask 255.255.255.252

eth2: lokaal netwerk:
address 192.168.10.1
netmask 255.255.0.0

eth3: DMZ
address 213.178.118.177
netmask 255.255.255.248

(omwille van de privacy heb ik het eerste getal van het IP nummers
gewijzigd)

Het probleem is dat als mensen vanaf het lokale netwerk (NAT) iets naar
buiten toe doen, ze op het internet het IP adres 213.178.115.254
krijgen, terwijl 213.178.118.177 de bedoeling is.
Maar hoe kan dat het beste gerealiseerd worden?

Van belang is nog dat er maar een beperkt aantal IP adressen voor de DMZ
zijn en het is daarom niet de bedoeling IP adressen te verspillen.

Wat ik me zou kunnen voorstellen is om eth0 te wijzigen in:
address 213.178.118.177
netmask 255.255.255.255

En verder een virtuele interface eth0:0 toe te voegen met de gateway:
address 213.178.115.254
gateway 213.178.115.253
netmask 255.255.255.252

Ik heb dan hetzelfde IP op 2 verschillende interfaces, kan dat wel, en
is dat wel een goede oplossing?

Nog nooit een gateway in een virtueel interface gezien, is dat wel een
goede oplossing?

Misschien is het mogelijk via iptables het afzender IP in te stellen?

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
Philip Paeps
2010-12-10 10:41:21 UTC
Permalink
Post by Paul van der Vlis
Voor een school heb ik een router/firewall gemaakt, deze werkt, maar de
internet verbinding is (voor mij) wel wat speciaal.
address 213.178.115.254
gateway 213.178.115.253
netmask 255.255.255.252
address 192.168.10.1
netmask 255.255.0.0
eth3: DMZ
address 213.178.118.177
netmask 255.255.255.248
(omwille van de privacy heb ik het eerste getal van het IP nummers
gewijzigd)
Het probleem is dat als mensen vanaf het lokale netwerk (NAT) iets naar
buiten toe doen, ze op het internet het IP adres 213.178.115.254
krijgen, terwijl 213.178.118.177 de bedoeling is.
Maar hoe kan dat het beste gerealiseerd worden?
Kan je niet gewoon je source adres specifiek rewriten in plaats van het van
een interface op te vissen? NAT is tenslotte maar een translation step. Het
maakt de NAT echt niet uit naar wat je vertaalt.
Post by Paul van der Vlis
Ik heb dan hetzelfde IP op 2 verschillende interfaces, kan dat wel, en
is dat wel een goede oplossing?
Neen, dat is een indicatie dat je wat fout doet. Ongetwijfeld maak je je
setup gewoon complexer dan strikt noodzakelijk.
Post by Paul van der Vlis
Nog nooit een gateway in een virtueel interface gezien, is dat wel een goede
oplossing?
Een gateway zit dan ook niet in een interface. Een gateway is een entry in de
routing table.
Post by Paul van der Vlis
Misschien is het mogelijk via iptables het afzender IP in te stellen?
Inderdaad.

- Philip
--
Philip Paeps Please don't email any replies
***@paeps.cx I follow the newsgroup.
Paul van der Vlis
2010-12-10 11:38:41 UTC
Permalink
Post by Philip Paeps
Post by Paul van der Vlis
Voor een school heb ik een router/firewall gemaakt, deze werkt, maar de
internet verbinding is (voor mij) wel wat speciaal.
address 213.178.115.254
gateway 213.178.115.253
netmask 255.255.255.252
address 192.168.10.1
netmask 255.255.0.0
eth3: DMZ
address 213.178.118.177
netmask 255.255.255.248
(omwille van de privacy heb ik het eerste getal van het IP nummers
gewijzigd)
Het probleem is dat als mensen vanaf het lokale netwerk (NAT) iets naar
buiten toe doen, ze op het internet het IP adres 213.178.115.254
krijgen, terwijl 213.178.118.177 de bedoeling is.
Maar hoe kan dat het beste gerealiseerd worden?
Kan je niet gewoon je source adres specifiek rewriten in plaats van het van
een interface op te vissen? NAT is tenslotte maar een translation step. Het
maakt de NAT echt niet uit naar wat je vertaalt.
Post by Paul van der Vlis
Ik heb dan hetzelfde IP op 2 verschillende interfaces, kan dat wel, en
is dat wel een goede oplossing?
Neen, dat is een indicatie dat je wat fout doet. Ongetwijfeld maak je je
setup gewoon complexer dan strikt noodzakelijk.
Post by Paul van der Vlis
Nog nooit een gateway in een virtueel interface gezien, is dat wel een goede
oplossing?
Een gateway zit dan ook niet in een interface. Een gateway is een entry in de
routing table.
Je hebt gelijk, al stel ik de gateway normaal in bij de interface. Maar
uiteindelijk komt dit natuurlijk in de routing table terecht.
Post by Philip Paeps
Post by Paul van der Vlis
Misschien is het mogelijk via iptables het afzender IP in te stellen?
Inderdaad.
Bedankt voor je opmerkingen!

In mijn firewall vind ik iets als:
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/16 -j MASQUERADE

Mocht iemand hier weten hoe je expliciet kunt instellen wat het afzender
IP van de NAT wordt, dan ben ik dankbaar ;-)
Nu zal hij het waarschijnlijk uit eth0 halen.


Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
Richard Lucassen
2010-12-10 11:47:47 UTC
Permalink
On Fri, 10 Dec 2010 12:38:41 +0100
Post by Paul van der Vlis
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/16 -j MASQUERADE
Mocht iemand hier weten hoe je expliciet kunt instellen wat het
afzender IP van de NAT wordt, dan ben ik dankbaar ;-)
Nu zal hij het waarschijnlijk uit eth0 halen.
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/16 \
-j SNAT --to-source a.b.c.d
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+
Philip Paeps
2010-12-10 12:23:42 UTC
Permalink
Post by Richard Lucassen
On Fri, 10 Dec 2010 12:38:41 +0100
Post by Paul van der Vlis
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/16 -j MASQUERADE
Mocht iemand hier weten hoe je expliciet kunt instellen wat het
afzender IP van de NAT wordt, dan ben ik dankbaar ;-)
Nu zal hij het waarschijnlijk uit eth0 halen.
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/16 \
-j SNAT --to-source a.b.c.d
Precies. :-)

Ik ben er zeker van dat er een gelijkaardig voorbeeld ook in de iptables
documentatie te vinden is. Waarom Paul MASQUERADE probeerde te gebruiken is
me niet geheel duidelijk. Ik ben er vrij zeker van dat in de documentatie
precies staat voor welke specifieke situatie MASQUERADE gebruikt wordt.

- Philip
--
Philip Paeps Please don't email any replies
***@paeps.cx I follow the newsgroup.
Paul van der Vlis
2010-12-10 13:24:00 UTC
Permalink
Post by Richard Lucassen
On Fri, 10 Dec 2010 12:38:41 +0100
Post by Paul van der Vlis
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/16 -j MASQUERADE
Mocht iemand hier weten hoe je expliciet kunt instellen wat het
afzender IP van de NAT wordt, dan ben ik dankbaar ;-)
Nu zal hij het waarschijnlijk uit eth0 halen.
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/16 \
-j SNAT --to-source a.b.c.d
Hartelijk bedankt!


Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
Philip Paeps
2010-12-10 12:22:22 UTC
Permalink
Post by Paul van der Vlis
Post by Philip Paeps
Post by Paul van der Vlis
Voor een school heb ik een router/firewall gemaakt, deze werkt, maar de
internet verbinding is (voor mij) wel wat speciaal.
address 213.178.115.254
gateway 213.178.115.253
netmask 255.255.255.252
address 192.168.10.1
netmask 255.255.0.0
eth3: DMZ
address 213.178.118.177
netmask 255.255.255.248
(omwille van de privacy heb ik het eerste getal van het IP nummers
gewijzigd)
Het probleem is dat als mensen vanaf het lokale netwerk (NAT) iets naar
buiten toe doen, ze op het internet het IP adres 213.178.115.254
krijgen, terwijl 213.178.118.177 de bedoeling is.
Maar hoe kan dat het beste gerealiseerd worden?
Kan je niet gewoon je source adres specifiek rewriten in plaats van het van
een interface op te vissen? NAT is tenslotte maar een translation step. Het
maakt de NAT echt niet uit naar wat je vertaalt.
Post by Paul van der Vlis
Ik heb dan hetzelfde IP op 2 verschillende interfaces, kan dat wel, en
is dat wel een goede oplossing?
Neen, dat is een indicatie dat je wat fout doet. Ongetwijfeld maak je je
setup gewoon complexer dan strikt noodzakelijk.
Post by Paul van der Vlis
Nog nooit een gateway in een virtueel interface gezien, is dat wel een goede
oplossing?
Een gateway zit dan ook niet in een interface. Een gateway is een entry in de
routing table.
Je hebt gelijk, al stel ik de gateway normaal in bij de interface. Maar
uiteindelijk komt dit natuurlijk in de routing table terecht.
Je bedoelt dat je zo'n dingen toevallid in dezelfde config file regelt?
Post by Paul van der Vlis
Post by Philip Paeps
Post by Paul van der Vlis
Misschien is het mogelijk via iptables het afzender IP in te stellen?
Inderdaad.
Bedankt voor je opmerkingen!
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/16 -j MASQUERADE
Waarom MASQUERADE?
Post by Paul van der Vlis
Mocht iemand hier weten hoe je expliciet kunt instellen wat het afzender
IP van de NAT wordt, dan ben ik dankbaar ;-)
Nu zal hij het waarschijnlijk uit eth0 halen.
Dat is inderdaad wat MASQUERADE betekent.

Gebruik SNAT.

Dit staat echt allemaal van naaldje tot draadje in de documentate uitgelegd
hoor.

- Philip
--
Philip Paeps Please don't email any replies
***@paeps.cx I follow the newsgroup.

Q. How do we get a '/' to appear on the interface?
A. You type '/'. Curious, isn't it ?
-- Mathieu Capcarrere on the CO320 Anonymous Questions page
Paul van der Vlis
2010-12-10 13:23:36 UTC
Permalink
Post by Philip Paeps
Post by Paul van der Vlis
Post by Philip Paeps
Post by Paul van der Vlis
Voor een school heb ik een router/firewall gemaakt, deze werkt, maar de
internet verbinding is (voor mij) wel wat speciaal.
address 213.178.115.254
gateway 213.178.115.253
netmask 255.255.255.252
address 192.168.10.1
netmask 255.255.0.0
eth3: DMZ
address 213.178.118.177
netmask 255.255.255.248
(omwille van de privacy heb ik het eerste getal van het IP nummers
gewijzigd)
Het probleem is dat als mensen vanaf het lokale netwerk (NAT) iets naar
buiten toe doen, ze op het internet het IP adres 213.178.115.254
krijgen, terwijl 213.178.118.177 de bedoeling is.
Maar hoe kan dat het beste gerealiseerd worden?
Kan je niet gewoon je source adres specifiek rewriten in plaats van het van
een interface op te vissen? NAT is tenslotte maar een translation step. Het
maakt de NAT echt niet uit naar wat je vertaalt.
Post by Paul van der Vlis
Ik heb dan hetzelfde IP op 2 verschillende interfaces, kan dat wel, en
is dat wel een goede oplossing?
Neen, dat is een indicatie dat je wat fout doet. Ongetwijfeld maak je je
setup gewoon complexer dan strikt noodzakelijk.
Post by Paul van der Vlis
Nog nooit een gateway in een virtueel interface gezien, is dat wel een goede
oplossing?
Een gateway zit dan ook niet in een interface. Een gateway is een entry in de
routing table.
Je hebt gelijk, al stel ik de gateway normaal in bij de interface. Maar
uiteindelijk komt dit natuurlijk in de routing table terecht.
Je bedoelt dat je zo'n dingen toevallid in dezelfde config file regelt?
Post by Paul van der Vlis
Post by Philip Paeps
Post by Paul van der Vlis
Misschien is het mogelijk via iptables het afzender IP in te stellen?
Inderdaad.
Bedankt voor je opmerkingen!
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/16 -j MASQUERADE
Waarom MASQUERADE?
Waarschijnlijk omdat ik dat al ruim 10 jaar gebruik, en het nog altijd
goed gaat.
Post by Philip Paeps
Post by Paul van der Vlis
Mocht iemand hier weten hoe je expliciet kunt instellen wat het afzender
IP van de NAT wordt, dan ben ik dankbaar ;-)
Nu zal hij het waarschijnlijk uit eth0 halen.
Dat is inderdaad wat MASQUERADE betekent.
Gebruik SNAT.
Dit staat echt allemaal van naaldje tot draadje in de documentate uitgelegd
hoor.
Dat zal vast, alleen kon ik het zo in eerste instantie niet vinden en
moest weg. En ben wel eens wat lui, ahum....

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
Philip Paeps
2010-12-10 16:28:00 UTC
Permalink
Post by Philip Paeps
Post by Paul van der Vlis
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/16 -j MASQUERADE
Waarom MASQUERADE?
Waarschijnlijk omdat ik dat al ruim 10 jaar gebruik, en het nog altijd goed
gaat.
Zonder echt te begrijpen wat het doet dan? Er is niets echt magisch aan NAT.
Past wat veldjes aan in je headers en zorgt dat de checksums blijven kloppen
(het is iets subtieler dan dat maar daar komt het in grote lijnen op neer).

MASQUERADE is een "special case" source NAT waarbij het nieuwe source adres
van de uitgaande interface geplukt wordt. Het blijft evenwel gewoon source
NAT.

De "magie" van MASQUERADE is dat het adres van een interface plukken wel
interessant kan zijn in het geval van een dynamisch adres (toegewezen over
IPCP of DHCP).
Post by Philip Paeps
Post by Paul van der Vlis
Mocht iemand hier weten hoe je expliciet kunt instellen wat het afzender
IP van de NAT wordt, dan ben ik dankbaar ;-)
Nu zal hij het waarschijnlijk uit eth0 halen.
Dat is inderdaad wat MASQUERADE betekent.
Gebruik SNAT.
Dit staat echt allemaal van naaldje tot draadje in de documentate uitgelegd
hoor.
Dat zal vast, alleen kon ik het zo in eerste instantie niet vinden en
moest weg. En ben wel eens wat lui, ahum....
Niets mis met lui in sé. Daar dienen computers tenslotte voor. Maar het is
toch praktisch om even basis-huiswerk te doen. :-)

- Philip
--
Philip Paeps Please don't email any replies
***@paeps.cx I follow the newsgroup.

hundred-and-one symptoms of being an internet addict:
220. Your wife asks for sex and you tell her where to find you on IRC.
Paul van der Vlis
2010-12-10 17:01:30 UTC
Permalink
Post by Philip Paeps
Post by Philip Paeps
Post by Paul van der Vlis
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/16 -j MASQUERADE
Waarom MASQUERADE?
Waarschijnlijk omdat ik dat al ruim 10 jaar gebruik, en het nog altijd goed
gaat.
Zonder echt te begrijpen wat het doet dan?
Ik denk dat ik dat heel aardig begrijp. Ik denk dat ik elke regel uit
mijn firewalls begrijp, en zo hoort het ook.
Post by Philip Paeps
Er is niets echt magisch aan NAT.
Past wat veldjes aan in je headers en zorgt dat de checksums blijven kloppen
(het is iets subtieler dan dat maar daar komt het in grote lijnen op neer).
MASQUERADE is een "special case" source NAT waarbij het nieuwe source adres
van de uitgaande interface geplukt wordt. Het blijft evenwel gewoon source
NAT.
De "magie" van MASQUERADE is dat het adres van een interface plukken wel
interessant kan zijn in het geval van een dynamisch adres (toegewezen over
IPCP of DHCP).
Ik wist niet dat ik iets speciaals gebruikte.

Maar het was wel in de tijd van analoge modems en ISDN dat ik de basis
van deze firewall gemaakt heb, en toen had je vast dynamische adressen.
Post by Philip Paeps
Post by Philip Paeps
Post by Paul van der Vlis
Mocht iemand hier weten hoe je expliciet kunt instellen wat het afzender
IP van de NAT wordt, dan ben ik dankbaar ;-)
Nu zal hij het waarschijnlijk uit eth0 halen.
Dat is inderdaad wat MASQUERADE betekent.
Gebruik SNAT.
Dit staat echt allemaal van naaldje tot draadje in de documentate uitgelegd
hoor.
Dat zal vast, alleen kon ik het zo in eerste instantie niet vinden en
moest weg. En ben wel eens wat lui, ahum....
Niets mis met lui in sé.
Er is best wel wat mis met lui ;-)
Post by Philip Paeps
Daar dienen computers tenslotte voor. Maar het is
toch praktisch om even basis-huiswerk te doen. :-)
Als ik SNAT had gebruikt, had ik het vast snel gevonden. Bij MASQERADE
is het echter geen feature om een IP adres op te geven.

Ik denk overigens nu dat dit ook gaat:
iptables -t nat -A POSTROUTING -o eth3 -s 192.168.0.0/16 -j MASQUERADE
Waarbij hij dus het IP van eth3 krijgt, maar toch via eth0 (de gateway)
naar internet gaat.

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
Martijn Lievaart
2010-12-10 23:18:16 UTC
Permalink
Ik denk overigens nu dat dit ook gaat: iptables -t nat -A POSTROUTING -o
eth3 -s 192.168.0.0/16 -j MASQUERADE Waarbij hij dus het IP van eth3
krijgt, maar toch via eth0 (de gateway) naar internet gaat.
Nee, dan gaat alles wat over eth3 naar buiten gaat die MASQUERADE, dat is
niet wat je wilt. SNAT is echt de juiste oplossing.

MASQUERADE gebruik je als je wilt natten over een dynamische interface,
b.v. een ppp verbinding, waarbij je niet van te voren weet welk IP adres
je krijgt. In alle andere gevallen gebruik je SNAT.

M4
Paul van der Vlis
2010-12-11 12:52:25 UTC
Permalink
Post by Martijn Lievaart
Ik denk overigens nu dat dit ook gaat: iptables -t nat -A POSTROUTING -o
eth3 -s 192.168.0.0/16 -j MASQUERADE Waarbij hij dus het IP van eth3
krijgt, maar toch via eth0 (de gateway) naar internet gaat.
Nee, dan gaat alles wat over eth3 naar buiten gaat die MASQUERADE, dat is
niet wat je wilt.
Inderdaad!
Post by Martijn Lievaart
SNAT is echt de juiste oplossing.
MASQUERADE gebruik je als je wilt natten over een dynamische interface,
b.v. een ppp verbinding, waarbij je niet van te voren weet welk IP adres
je krijgt. In alle andere gevallen gebruik je SNAT.
Wat voor nadeel heeft MASQUERADE boven SNAT?
Ik gebruik dat namelijk op tientallen systemen.

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
Philip Paeps
2010-12-11 14:05:35 UTC
Permalink
Post by Paul van der Vlis
Post by Martijn Lievaart
MASQUERADE gebruik je als je wilt natten over een dynamische interface,
b.v. een ppp verbinding, waarbij je niet van te voren weet welk IP adres
je krijgt. In alle andere gevallen gebruik je SNAT.
Wat voor nadeel heeft MASQUERADE boven SNAT?
Ik gebruik dat namelijk op tientallen systemen.
MASQUERADE is een speciaal geval van source NAT waarbij het source adres
aangepast wordt naar het eerste (vaak enige) adres op de uitgaande interface.

Het zou misschien eens boeiend zijn om twee machines met een paar vlans
ertussen met elkaar te verbinden en met tcpdump te kijken wat de verschillende
iptables rules doen.

- Philip
--
Philip Paeps Please don't email any replies
***@paeps.cx I follow the newsgroup.
Mart van de Wege
2010-12-12 13:23:15 UTC
Permalink
Post by Paul van der Vlis
Wat voor nadeel heeft MASQUERADE boven SNAT?
man iptables.

MASQUERADE
This target is only valid in the nat table, in the
POSTROUTING chain. It should only be used with dynamically
assigned IP (dialup) connections: if you have a static IP
address, you should use the SNAT target. Masquerading is
equivalent to specifying a mapping to the IP address of the
interface the packet is going out, but also has the effect
that connections are forgotten when the interface goes down.
This is the cor‐ rect behavior when the next dialup is
unlikely to have the same interface address (and hence any
established connections are lost anyway).

Oftewel, als de interface down gaat dan wist een MASQUERADE NAT de
connectietabel, terwijl SNAT dat niet doet.

Als de interface statisch is, dan wil je ook niet dat de connectietabel
bij het minste of geringste hikje wegvalt.
Post by Paul van der Vlis
Ik gebruik dat namelijk op tientallen systemen.
Maar blijkbaar inderdaad zonder eerst het meest basale huiswerk te doen.

Mart
--
Mit der Dummheit kämpfen Götter selbst vergebens
-- Friedrich Schiller
Paul van der Vlis
2010-12-12 13:52:39 UTC
Permalink
Post by Mart van de Wege
Post by Paul van der Vlis
Wat voor nadeel heeft MASQUERADE boven SNAT?
man iptables.
MASQUERADE
This target is only valid in the nat table, in the
POSTROUTING chain. It should only be used with dynamically
assigned IP (dialup) connections: if you have a static IP
address, you should use the SNAT target. Masquerading is
equivalent to specifying a mapping to the IP address of the
interface the packet is going out, but also has the effect
that connections are forgotten when the interface goes down.
This is the cor‐ rect behavior when the next dialup is
unlikely to have the same interface address (and hence any
established connections are lost anyway).
Oftewel, als de interface down gaat dan wist een MASQUERADE NAT de
connectietabel, terwijl SNAT dat niet doet.
Als de interface statisch is, dan wil je ook niet dat de connectietabel
bij het minste of geringste hikje wegvalt.
Dat is echter niet zo, het draait juist heel stabiel. Verder gaan er
eigenlijk nooit interfaces down. En als er al interfaces down gaan, dan
zeg ik natuurlijk welke, en dat is dan meestal niet het lokale netwerk.
Post by Mart van de Wege
Post by Paul van der Vlis
Ik gebruik dat namelijk op tientallen systemen.
Maar blijkbaar inderdaad zonder eerst het meest basale huiswerk te doen.
Dit basale huiswerk heb ik lang geleden gedaan, in de tijd van ISDN en
dynamische IP's. Verder heb ik nog steeds klanten met dynamische IP's
(Ziggo bijvoorbeeld, maar wellicht ook sommige routers).

Het valt me inderdaad wellicht te verwijten dat ik het niet zo goed heb
bijgehouden. Maar ja, als het goed werkt....

Het moeten vermelden van een IP vind ik overigens niet prettig.
Dit is immers anders van klant tot klant (extra config handeling), en
kan ook weer wijzigen (dan werkt de boel niet meer).

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
Mart van de Wege
2010-12-12 14:04:19 UTC
Permalink
Post by Paul van der Vlis
Post by Mart van de Wege
Post by Paul van der Vlis
Wat voor nadeel heeft MASQUERADE boven SNAT?
man iptables.
MASQUERADE
This target is only valid in the nat table, in the
POSTROUTING chain. It should only be used with dynamically
assigned IP (dialup) connections: if you have a static IP
address, you should use the SNAT target. Masquerading is
equivalent to specifying a mapping to the IP address of the
interface the packet is going out, but also has the effect
that connections are forgotten when the interface goes down.
This is the cor‐ rect behavior when the next dialup is
unlikely to have the same interface address (and hence any
established connections are lost anyway).
Oftewel, als de interface down gaat dan wist een MASQUERADE NAT de
connectietabel, terwijl SNAT dat niet doet.
Als de interface statisch is, dan wil je ook niet dat de connectietabel
bij het minste of geringste hikje wegvalt.
Dat is echter niet zo, het draait juist heel stabiel. Verder gaan er
eigenlijk nooit interfaces down. En als er al interfaces down gaan, dan
zeg ik natuurlijk welke, en dat is dan meestal niet het lokale netwerk.
Ja, maar je hebt je MASQUERADE niet op de interne interface staan. Als
de externe om wat voor reden dan ook down gaat (en ik kan je vertellen
dat dat vaker gebeurt dan je denkt), dan is je connectietabel weg.

Nu kan je natuurlijk zeggen dat bij een korte verstoring ( < 5 minuten )
je het niet zo erg vindt dat iedereen zijn sessie kwijt is, maar dat is
dan een bewuste keuze.
Post by Paul van der Vlis
Post by Mart van de Wege
Post by Paul van der Vlis
Ik gebruik dat namelijk op tientallen systemen.
Maar blijkbaar inderdaad zonder eerst het meest basale huiswerk te doen.
Dit basale huiswerk heb ik lang geleden gedaan, in de tijd van ISDN en
dynamische IP's. Verder heb ik nog steeds klanten met dynamische IP's
(Ziggo bijvoorbeeld, maar wellicht ook sommige routers).
Tja. Als je klanten hebt die op consumenten DSL zitten, dan heb je
inderdaad weinig keuze. Dan is het of MASQUERADE, of een setup script
gebruiken dat eerst de interfaces uitleest en dan het SNAT target
gescript invoegt (o.a. OpenWRT werkt zo).
Post by Paul van der Vlis
Het valt me inderdaad wellicht te verwijten dat ik het niet zo goed heb
bijgehouden. Maar ja, als het goed werkt....
Mijn persoonlijke mening is dat als je een professionele firewall admin
bent, dat je dit gewoon moet weten. Wat een connectietabel is, en hoe
verschillende vormen van NAT daarmee omgaan *is* vrij basale kennis.
Post by Paul van der Vlis
Het moeten vermelden van een IP vind ik overigens niet prettig.
Dit is immers anders van klant tot klant (extra config handeling), en
kan ook weer wijzigen (dan werkt de boel niet meer).
Tja, dan zit je dus met de tekortkomingen van MASQUERADE
opgescheept. *Of* je gaat scripten, wat ook geen onverdeeld genoegen is.

Mart
--
Mit der Dummheit kämpfen Götter selbst vergebens
-- Friedrich Schiller
Richard Lucassen
2010-12-12 14:40:27 UTC
Permalink
On Sun, 12 Dec 2010 15:04:19 +0100
Post by Mart van de Wege
Tja, dan zit je dus met de tekortkomingen van MASQUERADE
opgescheept. *Of* je gaat scripten, wat ook geen onverdeeld genoegen is.
Zolang je if netjes up blijft en het adres is statisch dan maakt het
niets uit. Hetgeen niet betekent dat je ongelijk hebt natuurlijk ;-)
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+
Mart van de Wege
2010-12-12 15:20:47 UTC
Permalink
Post by Richard Lucassen
On Sun, 12 Dec 2010 15:04:19 +0100
Post by Mart van de Wege
Tja, dan zit je dus met de tekortkomingen van MASQUERADE
opgescheept. *Of* je gaat scripten, wat ook geen onverdeeld genoegen is.
Zolang je if netjes up blijft en het adres is statisch dan maakt het
niets uit.
Heh.

Mijn ervaring is dat je vandaag de dag niet op betrouwbare verbindingen
kunt rekenen. Zelfs peperdure WAN verbindingen met een SLA gaan nog meer
down dan je zou denken, en de SLA heeft dan meestal plenty gaten om te
voorkomen dat je de provider er op aan kunt spreken.

En OP meldt dat zijn klanten Ziggo verbindingen met dynamisch IP
gebruiken. Dat zijn consumentenlijnen, en ik kan je uit ervaring
vertellen dat die zeker regelmatig stuiteren.

Mart
--
Mit der Dummheit kämpfen Götter selbst vergebens
-- Friedrich Schiller
Richard Lucassen
2010-12-12 16:49:43 UTC
Permalink
On Sun, 12 Dec 2010 16:20:47 +0100
Post by Mart van de Wege
En OP meldt dat zijn klanten Ziggo verbindingen met dynamisch IP
gebruiken. Dat zijn consumentenlijnen, en ik kan je uit ervaring
vertellen dat die zeker regelmatig stuiteren.
De zakelijke versie stuitert ook nog wel eens is mijn ervaring. En ach,
wat stuitert er nou wel eens niet. 99,9% uptime kan nog altijd
betekenen dat je 8 uur per jaar plat ligt.
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+
Paul van der Vlis
2010-12-13 19:53:47 UTC
Permalink
Post by Mart van de Wege
Post by Richard Lucassen
On Sun, 12 Dec 2010 15:04:19 +0100
Post by Mart van de Wege
Tja, dan zit je dus met de tekortkomingen van MASQUERADE
opgescheept. *Of* je gaat scripten, wat ook geen onverdeeld genoegen is.
Zolang je if netjes up blijft en het adres is statisch dan maakt het
niets uit.
Heh.
Mijn ervaring is dat je vandaag de dag niet op betrouwbare verbindingen
kunt rekenen. Zelfs peperdure WAN verbindingen met een SLA gaan nog meer
down dan je zou denken, en de SLA heeft dan meestal plenty gaten om te
voorkomen dat je de provider er op aan kunt spreken.
Richard zegt daar niets over. Hij zegt dat als het interface netjes up
blijft en je een statisch adres hebt dat er dan niets aan de hand is met
je NAT bij MASQUERADE. En dat zag ik net ook.
Post by Mart van de Wege
En OP meldt dat zijn klanten Ziggo verbindingen met dynamisch IP
gebruiken.
Ik heb maar 2 klanten die Ziggo gebruiken, een heeft dynamisch IP, de
ander een vaste IP range.
Post by Mart van de Wege
Dat zijn consumentenlijnen, en ik kan je uit ervaring
vertellen dat die zeker regelmatig stuiteren.
Beide zijn toevallig "Ziggo zakelijk" klanten.
En ja, fantastisch zijn ze niet bij Ziggo.

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
Mart van de Wege
2010-12-14 05:38:27 UTC
Permalink
Post by Paul van der Vlis
Beide zijn toevallig "Ziggo zakelijk" klanten.
Met een dynamisch IP adres?!

Het wordt steeds gekker in ISP-land. Sorry, daar had ik geen rekening
mee gehouden.

Mart
--
Mit der Dummheit kämpfen Götter selbst vergebens
-- Friedrich Schiller
Paul van der Vlis
2010-12-14 07:53:16 UTC
Permalink
Post by Mart van de Wege
Post by Paul van der Vlis
Beide zijn toevallig "Ziggo zakelijk" klanten.
Met een dynamisch IP adres?!
Een van de twee wel dus.

De naam is wel vast, dus ze kunnen wel een VPN hebben bijvoorbeeld.
Post by Mart van de Wege
Het wordt steeds gekker in ISP-land. Sorry, daar had ik geen rekening
mee gehouden.
Ik merk dat de situatie in Nederland anders is als in veel andere
landen. Hier heb je vaak vaste IP adressen, in veel andere landen niet.

Ik was laatst in Duitsland bij een organisatie waar ze elke dag op
precies dezelfde tijd een nieuw IP kregen. Die tijd konden ze zelf
bepalen door het modem op die tijd te resetten. Je had dan dus ook een
hik op die tijd. De naam was daar ook niet vast. ISP is Alice, heb je
hier ook.

Heeft ook privacy-voordelen ;-)

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
Richard Lucassen
2010-12-14 08:21:54 UTC
Permalink
On Tue, 14 Dec 2010 08:53:16 +0100
Post by Paul van der Vlis
Ik merk dat de situatie in Nederland anders is als in veel andere
landen. Hier heb je vaak vaste IP adressen, in veel andere landen niet.
Ik was laatst in Duitsland bij een organisatie waar ze elke dag op
precies dezelfde tijd een nieuw IP kregen. Die tijd konden ze zelf
bepalen door het modem op die tijd te resetten. Je had dan dus ook een
hik op die tijd. De naam was daar ook niet vast. ISP is Alice, heb je
hier ook.
Heeft ook privacy-voordelen ;-)
Nog even en dan is het op. Dan gaan we naar ipv6 en dan zijn er zat
adressen ;-)
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+
Paul van der Vlis
2010-12-13 19:43:28 UTC
Permalink
Post by Mart van de Wege
Ja, maar je hebt je MASQUERADE niet op de interne interface staan.
Je hebt gelijk.
Post by Mart van de Wege
Als
de externe om wat voor reden dan ook down gaat (en ik kan je vertellen
dat dat vaker gebeurt dan je denkt), dan is je connectietabel weg.
Ik hoor haast niet anders dan dat de verbindingen heel stabiel zijn. Het
is meestal XS4all consumenten DSL, maar er zit ook wel andere DSL, glas,
kabel en zelfs UMTS bij.
Post by Mart van de Wege
Nu kan je natuurlijk zeggen dat bij een korte verstoring ( < 5 minuten )
je het niet zo erg vindt dat iedereen zijn sessie kwijt is, maar dat is
dan een bewuste keuze.
Ik heb net hier de netwerkkabel naar internet van een Linux router met
mijn firewall een minuut losgetrokken tijdens een download via NAT.
Na het weer insteken ging de download vrolijk verder. Je verhaal lijkt
dus niet helemaal juist.
Post by Mart van de Wege
Post by Paul van der Vlis
Post by Mart van de Wege
Post by Paul van der Vlis
Ik gebruik dat namelijk op tientallen systemen.
Maar blijkbaar inderdaad zonder eerst het meest basale huiswerk te doen.
Dit basale huiswerk heb ik lang geleden gedaan, in de tijd van ISDN en
dynamische IP's. Verder heb ik nog steeds klanten met dynamische IP's
(Ziggo bijvoorbeeld, maar wellicht ook sommige routers).
Tja. Als je klanten hebt die op consumenten DSL zitten, dan heb je
inderdaad weinig keuze.
Meestal heeft consumenten DSL een vast IP in Nederland.
Post by Mart van de Wege
Dan is het of MASQUERADE, of een setup script
gebruiken dat eerst de interfaces uitleest en dan het SNAT target
gescript invoegt (o.a. OpenWRT werkt zo).
Hmm, vraag me af of dat goed werkt als een IP adres wijzigt.
Post by Mart van de Wege
Post by Paul van der Vlis
Het valt me inderdaad wellicht te verwijten dat ik het niet zo goed heb
bijgehouden. Maar ja, als het goed werkt....
Mijn persoonlijke mening is dat als je een professionele firewall admin
bent, dat je dit gewoon moet weten. Wat een connectietabel is, en hoe
verschillende vormen van NAT daarmee omgaan *is* vrij basale kennis.
Ik ben geen firewall-specialist maar vrij breed Linux sysadmin.

Uiteraard weet ik wat een NAT tabel doet, en ik gebruik ook SNAT en DNAT
weleens, maar voor "gewoon NAT" gebruik ik MASQUERADE omdat ik dat zo
gewend ben. En ik geloof niet dat daar erg veel mis mee is.
Post by Mart van de Wege
Post by Paul van der Vlis
Het moeten vermelden van een IP vind ik overigens niet prettig.
Dit is immers anders van klant tot klant (extra config handeling), en
kan ook weer wijzigen (dan werkt de boel niet meer).
Tja, dan zit je dus met de tekortkomingen van MASQUERADE
opgescheept. *Of* je gaat scripten, wat ook geen onverdeeld genoegen is.
Ik heb ruim 10 jaar geen tekortkomingen ondervonden. Maar heb het wel op
mijn lijstje gezet om eens beter naar te gaan kijken, want misschien kan
het "nog beter".

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
Richard Lucassen
2010-12-13 22:43:06 UTC
Permalink
On Mon, 13 Dec 2010 20:43:28 +0100
Post by Paul van der Vlis
Ik heb net hier de netwerkkabel naar internet van een Linux router met
mijn firewall een minuut losgetrokken tijdens een download via NAT.
Na het weer insteken ging de download vrolijk verder. Je verhaal lijkt
dus niet helemaal juist.
Interface down is iets anders dan "de kabel eruit" ;-)

ip link set eth0 down

Probeer dat maar eens :)

R.
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+
Paul van der Vlis
2010-12-14 07:42:32 UTC
Permalink
Post by Richard Lucassen
On Mon, 13 Dec 2010 20:43:28 +0100
Post by Paul van der Vlis
Ik heb net hier de netwerkkabel naar internet van een Linux router met
mijn firewall een minuut losgetrokken tijdens een download via NAT.
Na het weer insteken ging de download vrolijk verder. Je verhaal lijkt
dus niet helemaal juist.
Interface down is iets anders dan "de kabel eruit" ;-)
Inderdaad, er is geen interface down bij een hikje van internet. Vraag
me af wanneer dat zou kunnen gebeuren, zie jij dat wel eens?

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
Richard Lucassen
2010-12-14 08:20:29 UTC
Permalink
On Tue, 14 Dec 2010 08:42:32 +0100
Post by Paul van der Vlis
Post by Richard Lucassen
Interface down is iets anders dan "de kabel eruit" ;-)
Inderdaad, er is geen interface down bij een hikje van internet. Vraag
me af wanneer dat zou kunnen gebeuren, zie jij dat wel eens?
Nee, maar MASQUERADE is ook voor veranderende ip-adressen gemaakt, zoals
bij een ethernet-if dat een dhcp adres krijgt van de provider of een ppp
interface (bij UMTS of zo). Maar als het if vast up is en nooit een
ander ip-adres krijgt is het geen probleem. Maar SNAT is wel de target
voor vast ip en vast if.
--
___________________________________________________________________
It is better to remain silent and be thought a fool, than to speak
aloud and remove all doubt.

+------------------------------------------------------------------+
| Richard Lucassen, Utrecht |
| Public key and email address: |
| http://www.lucassen.org/mail-pubkey.html |
+------------------------------------------------------------------+
Fred Mobach
2010-12-14 10:30:34 UTC
Permalink
Post by Paul van der Vlis
Meestal heeft consumenten DSL een vast IP in Nederland.
Beschouw die gedachte maar als een vergissing.
--
Fred Mobach
website : https://fred.mobach.nl
.... In God we trust ....
.. The rest we monitor ..
Paul van der Vlis
2010-12-15 10:19:16 UTC
Permalink
Post by Fred Mobach
Post by Paul van der Vlis
Meestal heeft consumenten DSL een vast IP in Nederland.
Beschouw die gedachte maar als een vergissing.
Alle KPN providers geven je een vast IP, en de meeste BBned providers
ook. In de praktijk kom ik eigenlijk alleen consumentenkabel tegen met
een wisselend IP, maar wellicht dat nieuwe providers zoals Alice en
Tele2 je een dynamisch IP geven.

Waar kom je dynamische IP's tegen?

UMTS is wel bijna altijd met wisselend IP, vaak zelfs achter NAT.

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
Fred Mobach
2010-12-15 14:59:38 UTC
Permalink
Post by Fred Mobach
Post by Paul van der Vlis
Meestal heeft consumenten DSL een vast IP in Nederland.
Beschouw die gedachte maar als een vergissing.
Alle KPN providers geven je een vast IP,...
XS4ALL levert af en toe IP adressen via DHCP en dat lijkt me niet zo
statisch.
--
Fred Mobach
website : https://fred.mobach.nl
.... In God we trust ....
.. The rest we monitor ..
Paul van der Vlis
2010-12-15 15:22:57 UTC
Permalink
Post by Fred Mobach
Post by Fred Mobach
Post by Paul van der Vlis
Meestal heeft consumenten DSL een vast IP in Nederland.
Beschouw die gedachte maar als een vergissing.
Alle KPN providers geven je een vast IP,...
XS4ALL levert af en toe IP adressen via DHCP en dat lijkt me niet zo
statisch.
Ook via DHCP kunnen adressen statisch zijn ;-)
XS4all wijst namelijk altijd hetzelfde IP adres toe via DHCP. Net als
vele andere ISP's.

Voor zover ik weet levert XS4all alleen vaste IP adressen op DSL lijnen,
ik heb vele klanten met XS4all consumentenlijnen dus ik zou het moeten
weten.

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
Stef
2010-12-15 17:06:00 UTC
Permalink
In nl.comp.os.linux.netwerken,
Post by Paul van der Vlis
Post by Fred Mobach
Post by Fred Mobach
Post by Paul van der Vlis
Meestal heeft consumenten DSL een vast IP in Nederland.
Beschouw die gedachte maar als een vergissing.
Alle KPN providers geven je een vast IP,...
XS4ALL levert af en toe IP adressen via DHCP en dat lijkt me niet zo
statisch.
Ook via DHCP kunnen adressen statisch zijn ;-)
XS4all wijst namelijk altijd hetzelfde IP adres toe via DHCP. Net als
vele andere ISP's.
Voor zover ik weet levert XS4all alleen vaste IP adressen op DSL lijnen,
ik heb vele klanten met XS4all consumentenlijnen dus ik zou het moeten
weten.
Garanderen ze dat of is dat jouw ervaring? In de specificaties van de
producten is dat namelijk niet terug te vinden. Nu zegt dat ook niet
alles, tot voor kort was de uploadsnelheid niet eens op de website te
vinden. De consumentenservice kon me toen niet vertellen of je een
vast IP kreeg, gelukkig konden ze wel ergens de upload snelheid
vinden. :-)

Via DHCP lijkt vaak inderdaad 'statisch', zolang je niet van modem MAC
wisselt en 'jouw' adres nog beschikbaar is, zal de DHCP server je dat
adres geven. Daar is echter geen garantie voor. Bij mijn vorige provider
hebben op verzoek dat adres in de DHCP server vastgezet zodat ik met
mijn MAC gegarandeerd het zelfde IP kreeg. Probleem was alleen dat dat
op modem MAC ging, dus bij modem wisselen moet je de helpdesk weer even
bellen om je oude IP terug te krijgen (modem andere MAC geven kan vast
ook).
--
Stef (remove caps, dashes and .invalid from e-mail address to reply by mail)

MOUNT TAPE U1439 ON B3, NO RING
Paul van der Vlis
2010-12-15 17:53:34 UTC
Permalink
Post by Stef
In nl.comp.os.linux.netwerken,
Post by Paul van der Vlis
Post by Fred Mobach
Post by Fred Mobach
Post by Paul van der Vlis
Meestal heeft consumenten DSL een vast IP in Nederland.
Beschouw die gedachte maar als een vergissing.
Alle KPN providers geven je een vast IP,...
XS4ALL levert af en toe IP adressen via DHCP en dat lijkt me niet zo
statisch.
Ook via DHCP kunnen adressen statisch zijn ;-)
XS4all wijst namelijk altijd hetzelfde IP adres toe via DHCP. Net als
vele andere ISP's.
Voor zover ik weet levert XS4all alleen vaste IP adressen op DSL lijnen,
ik heb vele klanten met XS4all consumentenlijnen dus ik zou het moeten
weten.
Garanderen ze dat of is dat jouw ervaring?
Ik heb nooit een contract met garanties gezien. Wel krijg je van te
voren een brief van XS4all waarin je vaste IP vermeld staat.

Als je overstapt naar een ander abbonnement type bij XS4all, dan kan het
zijn dat je een ander IP krijgt.
Post by Stef
In de specificaties van de
producten is dat namelijk niet terug te vinden. Nu zegt dat ook niet
alles, tot voor kort was de uploadsnelheid niet eens op de website te
vinden. De consumentenservice kon me toen niet vertellen of je een
vast IP kreeg, gelukkig konden ze wel ergens de upload snelheid
vinden. :-)
De "sales" afdeling is inderdaad slecht op de hoogte. Bel beter met de
helpdesk als het om technische zaken gaat.
Post by Stef
Via DHCP lijkt vaak inderdaad 'statisch', zolang je niet van modem MAC
wisselt en 'jouw' adres nog beschikbaar is, zal de DHCP server je dat
adres geven.
Ook als je van MAC wisselt blijft je IP hetzelfde bij XS4all.
Post by Stef
Daar is echter geen garantie voor. Bij mijn vorige provider
hebben op verzoek dat adres in de DHCP server vastgezet zodat ik met
mijn MAC gegarandeerd het zelfde IP kreeg. Probleem was alleen dat dat
op modem MAC ging, dus bij modem wisselen moet je de helpdesk weer even
bellen om je oude IP terug te krijgen (modem andere MAC geven kan vast
ook).
Zo is het inderdaad geregeld bij een aantal providers.

Mijn ervaring is dat je bij alle KPN-based providers een vast IP krijgt,
ook bij de budget providers.

Je kunt op de website "internetten.nl" zien of een provider een vast IP
geeft, maar of het altijd klopt weet ik niet. Ik zag daar staan dat
Telfort dynamische IP's heeft, maar ik weet dat ze vast zijn.

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
Stef
2010-12-15 23:09:40 UTC
Permalink
In nl.comp.os.linux.netwerken,
Post by Paul van der Vlis
Post by Stef
In nl.comp.os.linux.netwerken,
Post by Paul van der Vlis
Voor zover ik weet levert XS4all alleen vaste IP adressen op DSL lijnen,
ik heb vele klanten met XS4all consumentenlijnen dus ik zou het moeten
weten.
Garanderen ze dat of is dat jouw ervaring?
Ik heb nooit een contract met garanties gezien. Wel krijg je van te
voren een brief van XS4all waarin je vaste IP vermeld staat.
OK, ze melden je een vast IP, dat lijkt me voldoende 'garantie'.

<snip, verdere uitleg, dank.>
--
Stef (remove caps, dashes and .invalid from e-mail address to reply by mail)

QOTD:
"I used to jog, but the ice kept bouncing out of my glass."
Paul van der Vlis
2010-12-16 08:37:04 UTC
Permalink
Post by Stef
In nl.comp.os.linux.netwerken,
Post by Paul van der Vlis
Post by Stef
In nl.comp.os.linux.netwerken,
Post by Paul van der Vlis
Voor zover ik weet levert XS4all alleen vaste IP adressen op DSL lijnen,
ik heb vele klanten met XS4all consumentenlijnen dus ik zou het moeten
weten.
Garanderen ze dat of is dat jouw ervaring?
Ik heb nooit een contract met garanties gezien. Wel krijg je van te
voren een brief van XS4all waarin je vaste IP vermeld staat.
OK, ze melden je een vast IP, dat lijkt me voldoende 'garantie'.
Hmmm, correctie. Ze vermelden je IP, ze zeggen er niet expliciet bij dat
het vast is.

Met vriendelijke groet,
Paul van der Vlis.
--
http://www.vandervlis.nl/
Fred Mobach
2010-12-10 15:30:48 UTC
Permalink
Post by Paul van der Vlis
Voor een school heb ik een router/firewall gemaakt, deze werkt, maar
de internet verbinding is (voor mij) wel wat speciaal.
<<knip>>
Post by Paul van der Vlis
(omwille van de privacy heb ik het eerste getal van het IP nummers
gewijzigd)
Nergens voor nodig, we kennen die paar aan RIPE toegewezen blokken toch
al. ;-)
Post by Paul van der Vlis
Het probleem is dat als mensen vanaf het lokale netwerk (NAT) iets naar
buiten toe doen, ze op het internet het IP adres 213.178.115.254
krijgen, terwijl 213.178.118.177 de bedoeling is.
Maar hoe kan dat het beste gerealiseerd worden?
Bij NAT het source IP adres meegeven als 213.178.118.177.
Post by Paul van der Vlis
Misschien is het mogelijk via iptables het afzender IP in te stellen?
Dat kan met SNAT.
--
Fred Mobach
website : https://fred.mobach.nl
.... In God we trust ....
.. The rest we monitor ..
Loading...