URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 24573
[ Назад ]
Исходное сообщение
"Мост и шлюз одновременно, на FreeBSD natd+bridge+ipfw"
Отправлено alexisss , 27-Дек-02 17:28 
Можно ли FreeBSD заставить работать одновременно как шлюз и как мост?

Есть несколько реальных IP адресов на выделенном канале и есть локалка компов на 30 с сеткой 192.168.210.0/24
Комп с BSD подключен одной сетевухой к выделенке второй к локалке
     Есть огромное желание некоторым компам из локалки дать реальные IP
Кернел скомпилен с опциями
options         TCP_DROP_SYNFIN
options         IPFIREWALL
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_FORWARD
options         DUMMYNET
options         IPFIREWALL_VERBOSE_LIMIT=10
options         IPDIVERT
options         BRIDGE
options         ICMP_BANDLIM

При включении моста
net.link.ether.bridge=1
net.link.ether.bridge_ipfw=1
net.link.ether.bridge_cfg: ed1:1,ed0:1

Пропадает доступ с локальных адресов а мост так и не заводиться

В чем я не прав?

Содержание
Сообщения в этом обсуждении
"RE: Мост и шлюз одновременно, на FreeBSD natd+bridge+ipfw"
Отправлено alexisss , 30-Дек-02 12:36 
Никто не делал такого??? да?
"RE: Мост и шлюз одновременно, на FreeBSD natd+bridge+ipfw"
Отправлено globus , 30-Дек-02 12:44 
>Никто не делал такого??? да?
Ответь, ты просто НАТ не пробовал поднимать ?
"RE: Мост и шлюз одновременно, на FreeBSD natd+bridge+ipfw"
Отправлено alexisss , 30-Дек-02 13:33 
Пробовал,
НАТ фунициклит без проблем,
Но охота и трафик к реальным IP внутри сети контролировать,
а не просто через хаб авать доступ...


"RE: Мост и шлюз одновременно, на FreeBSD natd+bridge+ipfw"
Отправлено globus , 30-Дек-02 13:49 
какой траффик ты хочешь регулировать ??
1. HTTP, FTP можно через SQUID завернуть ...
2. Остальной траффик ipfw крути как хотишь ...
"RE: Мост и шлюз одновременно, на FreeBSD natd+bridge+ipfw"
Отправлено alexisss , 03-Янв-03 16:05 
Весь IP трафик TCP и UDP,
squid здесь не помошик 8-(
IPFW замечательно с этим справляеться, но
при включении моста перестает работать nat.
А без моста в локалке за серваком нельзя использовать реальные IP адреса.

"RE: Мост и шлюз одновременно, на FreeBSD natd+bridge+ipfw"
Отправлено LinaS , 03-Янв-03 23:56 
>Весь IP трафик TCP и UDP,
>squid здесь не помошик 8-(
>IPFW замечательно с этим справляеться, но
>при включении моста перестает работать nat.
>А без моста в локалке за серваком нельзя использовать реальные IP адреса.
>

почему нельзя...
очень даже можно...
как вариант - если за шлюзом (в сторону локалки) свич, поднять vlan'ы, на каждую vlan навесить свою сеть (какую хошь, хоть с реальным ИП (порезав на подсетки с более длинной маской) хоть с нереальным), не забыть на киске (или что там в сторону инета) прописать маршруты к сеткам с реальными ИП, считать траффик с каждой vlan отдельно посредством ipfw и например ipa, natd запускать с ключиком -unregistered-only.

да и без vlan'ов наверно сделать можно (зависит от ситуации, конечно)

или я чего то не поняла :)

"RE: Мост и шлюз одновременно, на FreeBSD natd+bridge+ipfw"
Отправлено A Clockwork Orange , 04-Янв-03 09:31 
>>Весь IP трафик TCP и UDP,
>>squid здесь не помошик 8-(
>>IPFW замечательно с этим справляеться, но
>>при включении моста перестает работать nat.
>>А без моста в локалке за серваком нельзя использовать реальные IP адреса.
>>
>
>почему нельзя...
>очень даже можно...
>как вариант - если за шлюзом (в сторону локалки) свич, поднять vlan'ы,
>на каждую vlan навесить свою сеть (какую хошь, хоть с реальным
>ИП (порезав на подсетки с более длинной маской) хоть с нереальным),
>не забыть на киске (или что там в сторону инета) прописать
>маршруты к сеткам с реальными ИП, считать траффик с каждой vlan
>отдельно посредством ipfw и например ipa, natd запускать с ключиком -unregistered-only.
>
>
>да и без vlan'ов наверно сделать можно (зависит от ситуации, конечно)
>
>или я чего то не поняла :)

Как мне видится ситуация такая.
Кинету дали подсеть реальных адресов.
Один адрес он взял для своего маршрутизатора с natd, ipfw под фрей, за ним локалка c фейковыми адресами.
Остальные реальные адреса он хочет тоже использовать.
В данной ситуации все машины с реальными адресами, включая свой роутер на фре подключаются к инету через хаб.
Клиет хочет что бы весь трафик, включая с реальных адресов был им контролируем.
Решение с вланами не подходит так как сеть нужно дробить на подсети с потерей адресов.
Мост правильное решение. Но поднимать его надо на второй машине под фрей.
Хаб-мост-{роутер с фрей + машины с реальными адресами}.

Если поднять мост на существующей машине,
сложные операции, такие, как 'divert', 'forward' или 'reject', недоступны. Эти операции все же можно использовать, но только для трафика к или от машины, являющейся сетевым мостом.

"RE: Мост и шлюз одновременно, на FreeBSD natd+bridge+ipfw"
Отправлено alexisss , 09-Янв-03 15:45 
Ок. Спасибо.
Я так и думал, что придется второй комп со фрёй ставить под функции моста.
Или оставить все как есть... 8-(
Благо трафик и так считаеться, а на владельцев реальных IP воздействовать административными методами...

"RE: Мост и шлюз одновременно, на FreeBSD natd+bridge+ipfw"
Отправлено andy , 09-Фев-03 18:36 
>Ок. Спасибо.
>Я так и думал, что придется второй комп со фрёй ставить под
>функции моста.
>Или оставить все как есть... 8-(
>Благо трафик и так считаеться, а на владельцев реальных IP воздействовать административными
>методами...
не слушай их... все делается намного проще... есть два пути - первый - стрясти с прова сеть/30 для фрюхи на внешний интерфейс, имеющаяся сетка прописывается на внутреннем и все пучком. второй путь - прочитать man natd в применении к редиректу внешних адресов на внутренние... а то бридж придумали поднимать, второй комп - извращенцы :)