Как настроить iptables так, что бы на одну pppoe сессию абонента натило в один ip, а после реконекта рандомно выбирался другой ip и абонента натило в него в течении сессии.
Видел такие правила.
iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -o eth2 -j SNAT --to-source ххх.ххх.226.128-ххх.ххх.226.250 --persistent --nodst
или
iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -o eth2 -m statistic --mode nth --every 5 --packet 0 -j SNAT --to x1
iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -o eth2 -m statistic --mode nth --every 4 --packet 0 -j SNAT --to x2
iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -o eth2 -m statistic --mode nth --every 3 --packet 0 -j SNAT --to x3
iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -o eth2 -m statistic --mode nth --every 2 --packet 0 -j SNAT --to x4
iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -o eth2 -j SNAT --to x5
или
iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -o eth2 -m statistic --mode random --probability 0.20000 -j SNAT --to x1
iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -o eth2 -m statistic --mode random --probability 0.25000 -j SNAT --to x2
iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -o eth2 -m statistic --mode random --probability 0.33333 -j SNAT --to x3
iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -o eth2 -m statistic --mode random --probability 0.50000 -j SNAT --to x4
iptables -t nat -A POSTROUTING -s 10.0.0.0/8 -o eth2 -j SNAT --to x5
В первом случае ip-адрес выберется из пула и абонент будет натиться в этот ip все время для одного соединения, для другиз соединений будет выбран либо тот же ip либо другой. Тогда нужен параметр --nodst. Встает вопрос сброса ip для snat за этим абонентом.
Во-втором и в третьем случае меня интересует будет ли один и тот же IP адрес выбран для snat на разные сайты или для разных соединений будет выбираться новый ip (или старый если туда попадет)?
SAME — в зависимости от цепочки (PREROUTING или POSTROUTING) может работать как DNAT или SNAT. Однако, при указании (в параметре --to-ip) одного или нескольких диапазонов IP-адресов, определяет для каждого нового соединения подставляемый адрес не случайно, а базируясь на IP-адресе клиента. Таким образом, адрес для подмены остается постоянным для одного и того же клиента при повторных соединениях (что не выполняется для обычных DNAT/SNAT). В некоторых случаях это бывает важным.
Простой
