【v6プラス/OCNバーチャルコネクトでもNATタイプA】LinuxでポートセービングIPマスカレード付きの制限コーン風NAT(EIM/ADF)を動かす - turgenev’s blog
概要 NAT動作をめぐる誤解まとめ - turgenev’s blogでは、UDPホールパンチングのしやすさとポートの節約を両立するには「Address Dependentなマッピングを保持しつつEIM風に動作するADFなNAT」が一番いいという話を書きました。これだとv6プラスやOCNバーチャルコネクトでもNintendo SwitchのNAT判定が「タイプA」になります。 この記事では、Symmetric NAT/Full Cone NATをサポートするruby製NATであるrat(GitHub - kazuho/rat: NAT written in pure ruby)を手元で動かし、またコードを少しだけ変更することで上記のようなNATを実際に動作させるところまでを紹介します。変更後のコードはGitHub - ge9/rat: NAT written in pure rubyに公開
はじめに VPCエンドポイントは、NATゲートウェイなどインターネットGWを経由することなく、 プライベートなサブネットのリソースをVPCの外のサービスにアクセスできるようにしてくれるリソースです。 アーキテクチャの構成次第ですが、このVPCエンドポイントを利用することで、 課金額に大きく跳ねるNATゲートウェイを使わずにすむ可能性があります。 是非使えるようになっておきたいリソースなので、触ってみました! VPCエンドポイントとは イメージとしては、グローバルなインターネットGWではなく、プライベートな裏口を作る感じです。 上記の図にもある通り、インターネットGWを経由せずに各リージョンリソースにアクセスできます。 ほぼすべてのサービスのエンドポイントに対応している「インターフェイスエンドポイント」と、 S3, DynamoDBにのみ対応している「ゲートウェイエンドポイント」の2種類が存
Linuxのnetfilterのconnection trackingとNAT動作の仕組み - turgenev’s blog
概要 LinuxではNATやファイアウォールなどのパケットの扱いを担当するカーネルの機能としてnetfilterというものが搭載されており、特にそのconnection trackingの機能を理解することがLinuxのNAT動作の理解には不可欠です。また、安価な市販ルーターの多くはLinuxを搭載しているため、netfilterを理解することは市販ルーターの動作を理解することにもつながります。 NAT動作タイプ(cone NAT, symmetric NATあるいはEIM/APDFなどの用語)については以前の記事(NATタイプ、ポートセービングIPマスカレード、UDPホールパンチング、STUN - turgenev’s blog)などを参照してください。 他のプロトコルに関しても参考になる部分はあるかもしれませんが、この記事では主にUDPとTCPのみについて扱います。 conntrack
LinuxルーターのMAP-Eで良い感じにNATポートを使い回す方法 - turgenev’s blog
OpenWRTなどLinuxを使用してMAP-E(v6プラス、OCNバーチャルコネクトなど)接続を行う方法は様々なサイトで紹介されていますが、iptablesやnftables(バックで動いているのはnetfilter)のNATでは使用ポート範囲を複数(1000-2000, 3000-4000みたいな感じで)指定できないため、MAP-Eの利用可能ポートをうまく使い回すのが難しいという問題があります。具体的には、多くの接続を同時に行ってポートが不足気味のときに、実際には利用可能なポートが余っているにもかかわらずそれが割り当てられる対象になっていないため新規接続が失敗するという現象が発生する可能性があります。俗に言うニチバンベンチが成功しない状態です。 既存の手法はnthモードを使って接続ごとに順番にポートセットを切り替えるものとhmarkを使用してソースポートに応じてポートセットを変える(こ
インフラエンジニアさんに手引してもらいながらlambdaのIP固定化をやってみたときのメモ(NATゲートウェイ不使用) - Qiita
概要 LambdaのIPをElastic IPを使って固定化した話をメモ的にまとめる 前提 下記の記事を参考に、インフラエンジニアさんに手引してもらいながらlambdaのIP固定化をしてみた 内容 lambdaに紐づくネットワークインターフェースを探す どうやらパブリックなVPCにlambdaが設置されている場合、「ネットワークインターフェイス」が自動的に作られるらしい。下記の手順でネットワークインターフェースを探した。(パブリックなVPCにlambdaが設置されていないとネットワークインターフェイスはつくられないと思う) マネジメントコンソールでEC2を開く サイドバーで「ネットワークインターフェイス」を開く 「lambda」で検索をかける ヒットした内容の「説明」にlambda名が記載されているはずなので見つける lambdaに紐づくネットワークインターフェイスの「ネットワークインター
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
VPCエンドポイントを使って、脱NATしてみたかった - Qiita