Можно ли FreeBSD заставить работать одновременно как шлюз и как мост?Есть несколько реальных IP адресов на выделенном канале и есть локалка компов на 30 с сеткой 192.168.210.0/24
Комп с BSD подключен одной сетевухой к выделенке второй к локалке
Есть огромное желание некоторым компам из локалки дать реальные IP
Кернел скомпилен с опциями
options TCP_DROP_SYNFIN
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_FORWARD
options DUMMYNET
options IPFIREWALL_VERBOSE_LIMIT=10
options IPDIVERT
options BRIDGE
options ICMP_BANDLIMПри включении моста
net.link.ether.bridge=1
net.link.ether.bridge_ipfw=1
net.link.ether.bridge_cfg: ed1:1,ed0:1Пропадает доступ с локальных адресов а мост так и не заводиться
В чем я не прав?
Никто не делал такого??? да?
>Никто не делал такого??? да?
Ответь, ты просто НАТ не пробовал поднимать ?
Пробовал,
НАТ фунициклит без проблем,
Но охота и трафик к реальным IP внутри сети контролировать,
а не просто через хаб авать доступ...
какой траффик ты хочешь регулировать ??
1. HTTP, FTP можно через SQUID завернуть ...
2. Остальной траффик ipfw крути как хотишь ...
Весь IP трафик TCP и UDP,
squid здесь не помошик 8-(
IPFW замечательно с этим справляеться, но
при включении моста перестает работать nat.
А без моста в локалке за серваком нельзя использовать реальные IP адреса.
>Весь IP трафик TCP и UDP,
>squid здесь не помошик 8-(
>IPFW замечательно с этим справляеться, но
>при включении моста перестает работать nat.
>А без моста в локалке за серваком нельзя использовать реальные IP адреса.
>почему нельзя...
очень даже можно...
как вариант - если за шлюзом (в сторону локалки) свич, поднять vlan'ы, на каждую vlan навесить свою сеть (какую хошь, хоть с реальным ИП (порезав на подсетки с более длинной маской) хоть с нереальным), не забыть на киске (или что там в сторону инета) прописать маршруты к сеткам с реальными ИП, считать траффик с каждой vlan отдельно посредством ipfw и например ipa, natd запускать с ключиком -unregistered-only.да и без vlan'ов наверно сделать можно (зависит от ситуации, конечно)
или я чего то не поняла :)
>>Весь IP трафик TCP и UDP,
>>squid здесь не помошик 8-(
>>IPFW замечательно с этим справляеться, но
>>при включении моста перестает работать nat.
>>А без моста в локалке за серваком нельзя использовать реальные IP адреса.
>>
>
>почему нельзя...
>очень даже можно...
>как вариант - если за шлюзом (в сторону локалки) свич, поднять vlan'ы,
>на каждую vlan навесить свою сеть (какую хошь, хоть с реальным
>ИП (порезав на подсетки с более длинной маской) хоть с нереальным),
>не забыть на киске (или что там в сторону инета) прописать
>маршруты к сеткам с реальными ИП, считать траффик с каждой vlan
>отдельно посредством ipfw и например ipa, natd запускать с ключиком -unregistered-only.
>
>
>да и без vlan'ов наверно сделать можно (зависит от ситуации, конечно)
>
>или я чего то не поняла :)Как мне видится ситуация такая.
Кинету дали подсеть реальных адресов.
Один адрес он взял для своего маршрутизатора с natd, ipfw под фрей, за ним локалка c фейковыми адресами.
Остальные реальные адреса он хочет тоже использовать.
В данной ситуации все машины с реальными адресами, включая свой роутер на фре подключаются к инету через хаб.
Клиет хочет что бы весь трафик, включая с реальных адресов был им контролируем.
Решение с вланами не подходит так как сеть нужно дробить на подсети с потерей адресов.
Мост правильное решение. Но поднимать его надо на второй машине под фрей.
Хаб-мост-{роутер с фрей + машины с реальными адресами}.Если поднять мост на существующей машине,
сложные операции, такие, как 'divert', 'forward' или 'reject', недоступны. Эти операции все же можно использовать, но только для трафика к или от машины, являющейся сетевым мостом.
Ок. Спасибо.
Я так и думал, что придется второй комп со фрёй ставить под функции моста.
Или оставить все как есть... 8-(
Благо трафик и так считаеться, а на владельцев реальных IP воздействовать административными методами...
>Ок. Спасибо.
>Я так и думал, что придется второй комп со фрёй ставить под
>функции моста.
>Или оставить все как есть... 8-(
>Благо трафик и так считаеться, а на владельцев реальных IP воздействовать административными
>методами...
не слушай их... все делается намного проще... есть два пути - первый - стрясти с прова сеть/30 для фрюхи на внешний интерфейс, имеющаяся сетка прописывается на внутреннем и все пучком. второй путь - прочитать man natd в применении к редиректу внешних адресов на внутренние... а то бридж придумали поднимать, второй комп - извращенцы :)