IPNAT求助。

edwardj

偶的BSD，xl1对外，IP是a.b.c.42，另外，还有a.b.c.43-a.b.c.46可用。偶想把内部网络10.0.0.0/24转换为a.b.c.43后上网。

   可是，偶的ipnat.rules这么写：map xl1 10.0.0.0/24 ->; a.b.c.43/32，无法上网。此时，ipnat -l 查看，能看到内部IP对a.b.c.43的对应关系，ipfstat看，也统统是pass的，没有block掉（ipfilter的规则是pass all，没有其他规则）。只有改成map xl1 10.0.0.0/24 ->; a.b.c.42/32，才能正常上网。

   偶的问题是，ipnat该如何设置，才能满足偶的目的？

aborigen

上级路由把43指回你才行，或做43的arp proxy

man arp

edwardj

对端路由器肯定是指向偶的，因为分配给偶们的公网IP段是a.b.c.40/29，其中，.41由电信的三层交换机占用，.42被xl1占了。.43－.46都是空闲的，偶可以自由分配。

aborigen

man arp

edwardj

那么，对于map-block指令，是否也要arp -S a.b.c.d wwx:yy:zz pub呢？
如果也是如此，那么，对于比较大的网络，那岂不是狠累人
比如，map-block 10.0.0.0/16 ->; a.b.c.d/24，那不就是要做255个arp绑定吗？

左看又看

我也遇到过类似问题，我给一个内网IP做了bimap，结果这台电脑能pi和网关通信但上不了外网。我也正想问呢。

i2era

把a.b.c.43-a.b.c.46都绑到你的外网卡上:
#ifconfig interface alias a.b.c.X/32

edwardj

原帖由 "i2era" 发表：
把a.b.c.43-a.b.c.46都绑到你的外网卡上:
#ifconfig interface alias a.b.c.X/32

   

这偶也想到过，但不到万不得以，不想用，Secondary IP 影响性能。
另外，同 Proxy ARP 一样，如果需要手工干预，添加条目的话，那对于大规模 NAT 复用，管理开销比较大。


BTW：偶这里目前用 Cisco 2610 做 NAT 的。Cisco 的 NAT 应该也是通过 Proxy ARP 做的，show arp 可以看到 NAT 复用的 IP 是与外部接口的 MAC 地址绑定的。不过，这不用手工干预，直接指定用于 NAT 复用的外部 IP，路由器自动进行 ARP 绑定。
Router>;show arp
　Protocol  Address          Age (min)  Hardware Addr   Type   Interface
　Internet  a.b.c.44             -             xxxx.yyyy.fc80  ARPA   Ethernet0/0
　Internet  a.b.c.43             -             xxxx.yyyy.fc80  ARPA   Ethernet0/0
　Internet  a.b.c.42             -             xxxx.yyyy.fc80  ARPA   Ethernet0/0

i2era

原帖由 "edwardj" 发表：
   

这偶也想到过，但不到万不得以，不想用，Secondary IP 影响性能。
另外，同 Proxy ARP 一样，如果需要手工干预，添加条目的话，那对于大规模 NAT 复用，管理开销比较大。


BTW：偶这里目前用 Cisco 261..........

   
如你上述所说的问题("只有改成map xl1 10.0.0.0/24 ->; a.b.c.42/32，才能正常上网。
偶的问题是，ipnat该如何设置，才能满足偶的目的？"
和ipnat根本无关，如果不绑定ip,你的系统ip层将不会收ip包(a.b.c.43)，因为你的系统根本就没有这个ip，而是根据你的路由表，要么转发，要么丢弃.