The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Мост и шлюз одновременно. Реальные Ip за NAT без BRIDGE"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"Мост и шлюз одновременно. Реальные Ip за NAT без BRIDGE"  
Сообщение от alexisss (ok) on 15-Окт-07, 20:49 
В продолжение темы:
Мост и шлюз одновременно, на FreeBSD natd+bridge+ipfw
http://www.opennet.dev/openforum/vsluhforumID1/24573.html

Рылся поиском, но простого решения не нашел.
Предлагаю свой вариант. В данный момент работает.

провайдер выделил подсеть xxx.xxx.xxx.33:255.255.255.224
Есть локалка с "серыми адресами" 192.168.210.1/24

Нужно иметь реальные ip в локальной сети за шлюзом.
При этом полностью контролировать трафик.

Выделеная подсеть разбита на две.
с масками xxx.xxx.xxx.33:255.255.255.252 и xxx.xxx.xxx.49:255.255.255.240

стоит комп с 3 сетевухами и FreeBSD 6.0

eth0 - xxx.xxx.xxx.34:255.255.255.252 из первой подсети - подключен к провайдеру (как опция: подключаю через хаб доверенные компы с онлайн сервисами xxx.xxx.xxx.35-47 с маской 255.255.255.240 для них контроль трафика мне не нужен)

eth1 - xxx.xxx.xxx.49:255.255.255.240 из второй подсети - Смотрит в локалку, является шлюзом для реальных ip в локалке
eth2 - 192.168.210.1:255.255.255.0 - Смотрит в локалку, является шлюзом для всех серых ip
eth1 и eth2 включены в один свич.

Кернел скомпилен с опциями:
options TCP_DROP_SYNFIN
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_FORWARD
options DUMMYNET
options IPFIREWALL_VERBOSE_LIMIT=10
options IPDIVERT

Запущен NAT c ключами
-n eth0 -p natd -unregistered_only -redirect_address 192.168.210.1 xxx.xxx.xxx.34"

Ну и естественно, IPFW
правила приводить не буду он у меня хитро....ый

Кроме этого в rc.conf
defaultrouter="xxx.xxx.xxx.33" - шлюз к провайдеру.
gateway_enable="YES"
router_enable="YES"
router_flags="-q"
arpproxy_all="YES"
forward_sourceroute="YES"
accept_sourceroute="YES"

Вот в принципе и все.
Может я чего и лишнего понавключал, но это РАБОТАЕТ!

трафик идет из локалки на сервак через два разных интерфейса.
На серваке трафик обрабатывается биллингом, антивирусом, режется фаерволом, фиксится статическим arpом
И все это общается с провайдером через один интерфейс eth0.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Мост и шлюз одновременно. Реальные Ip за NAT без BRIDGE"  
Сообщение от universite email(ok) on 16-Окт-07, 02:06 

>eth1 - xxx.xxx.xxx.49:255.255.255.240 из второй подсети - Смотрит в локалку, является шлюзом
>для реальных ip в локалке
>eth2 - 192.168.210.1:255.255.255.0 - Смотрит в локалку, является шлюзом для всех серых
>ip
>eth1 и eth2 включены в один свич.

Очень плохо сделано.
Смешивать две сети на одном хабе - получите целый фейерверк способов кражи траффика.
Самое простое решение - натить каждый реальник в свой серый IP.
Второе решение подымать VPN и раздавать через него реальники клиентам.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Мост и шлюз одновременно. Реальные Ip за NAT без BRIDGE"  
Сообщение от anonymous (??) on 16-Окт-07, 03:13 
>[оверквотинг удален]
>>для реальных ip в локалке
>>eth2 - 192.168.210.1:255.255.255.0 - Смотрит в локалку, является шлюзом для всех серых
>>ip
>>eth1 и eth2 включены в один свич.
>
>Очень плохо сделано.
>Смешивать две сети на одном хабе - получите целый фейерверк способов кражи
>траффика.
>Самое простое решение - натить каждый реальник в свой серый IP.
>Второе решение подымать VPN и раздавать через него реальники клиентам.

Да не только смешивать две сети, а ещё и образовалась банальная петля в сети.  Так быть не должно.  Просто можно на один интерфейс повесить несколько IP.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Мост и шлюз одновременно. Реальные Ip за NAT без BRIDGE"  
Сообщение от universite email(ok) on 16-Окт-07, 06:10 

>Да не только смешивать две сети, а ещё и образовалась банальная петля
>в сети.  Так быть не должно.  Просто можно на
>один интерфейс повесить несколько IP.

Не надо смешивать две сети, даже через алиасы!


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру