URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 76796
[ Назад ]

Исходное сообщение
"Мост и шлюз одновременно. Реальные Ip за NAT без BRIDGE"

Отправлено alexisss , 15-Окт-07 20:49 
В продолжение темы:
Мост и шлюз одновременно, на FreeBSD natd+bridge+ipfw
http://www.opennet.me/openforum/vsluhforumID1/24573.html

Рылся поиском, но простого решения не нашел.
Предлагаю свой вариант. В данный момент работает.

провайдер выделил подсеть xxx.xxx.xxx.33:255.255.255.224
Есть локалка с "серыми адресами" 192.168.210.1/24

Нужно иметь реальные ip в локальной сети за шлюзом.
При этом полностью контролировать трафик.

Выделеная подсеть разбита на две.
с масками xxx.xxx.xxx.33:255.255.255.252 и xxx.xxx.xxx.49:255.255.255.240

стоит комп с 3 сетевухами и FreeBSD 6.0

eth0 - xxx.xxx.xxx.34:255.255.255.252 из первой подсети - подключен к провайдеру (как опция: подключаю через хаб доверенные компы с онлайн сервисами xxx.xxx.xxx.35-47 с маской 255.255.255.240 для них контроль трафика мне не нужен)

eth1 - xxx.xxx.xxx.49:255.255.255.240 из второй подсети - Смотрит в локалку, является шлюзом для реальных ip в локалке
eth2 - 192.168.210.1:255.255.255.0 - Смотрит в локалку, является шлюзом для всех серых ip
eth1 и eth2 включены в один свич.

Кернел скомпилен с опциями:
options TCP_DROP_SYNFIN
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_FORWARD
options DUMMYNET
options IPFIREWALL_VERBOSE_LIMIT=10
options IPDIVERT

Запущен NAT c ключами
-n eth0 -p natd -unregistered_only -redirect_address 192.168.210.1 xxx.xxx.xxx.34"

Ну и естественно, IPFW
правила приводить не буду он у меня хитро....ый

Кроме этого в rc.conf
defaultrouter="xxx.xxx.xxx.33" - шлюз к провайдеру.
gateway_enable="YES"
router_enable="YES"
router_flags="-q"
arpproxy_all="YES"
forward_sourceroute="YES"
accept_sourceroute="YES"

Вот в принципе и все.
Может я чего и лишнего понавключал, но это РАБОТАЕТ!

трафик идет из локалки на сервак через два разных интерфейса.
На серваке трафик обрабатывается биллингом, антивирусом, режется фаерволом, фиксится статическим arpом
И все это общается с провайдером через один интерфейс eth0.


Содержание

Сообщения в этом обсуждении
"Мост и шлюз одновременно. Реальные Ip за NAT без BRIDGE"
Отправлено universite , 16-Окт-07 02:06 

>eth1 - xxx.xxx.xxx.49:255.255.255.240 из второй подсети - Смотрит в локалку, является шлюзом
>для реальных ip в локалке
>eth2 - 192.168.210.1:255.255.255.0 - Смотрит в локалку, является шлюзом для всех серых
>ip
>eth1 и eth2 включены в один свич.

Очень плохо сделано.
Смешивать две сети на одном хабе - получите целый фейерверк способов кражи траффика.
Самое простое решение - натить каждый реальник в свой серый IP.
Второе решение подымать VPN и раздавать через него реальники клиентам.


"Мост и шлюз одновременно. Реальные Ip за NAT без BRIDGE"
Отправлено anonymous , 16-Окт-07 03:13 
>[оверквотинг удален]
>>для реальных ip в локалке
>>eth2 - 192.168.210.1:255.255.255.0 - Смотрит в локалку, является шлюзом для всех серых
>>ip
>>eth1 и eth2 включены в один свич.
>
>Очень плохо сделано.
>Смешивать две сети на одном хабе - получите целый фейерверк способов кражи
>траффика.
>Самое простое решение - натить каждый реальник в свой серый IP.
>Второе решение подымать VPN и раздавать через него реальники клиентам.

Да не только смешивать две сети, а ещё и образовалась банальная петля в сети.  Так быть не должно.  Просто можно на один интерфейс повесить несколько IP.


"Мост и шлюз одновременно. Реальные Ip за NAT без BRIDGE"
Отправлено universite , 16-Окт-07 06:10 

>Да не только смешивать две сети, а ещё и образовалась банальная петля
>в сети.  Так быть не должно.  Просто можно на
>один интерфейс повесить несколько IP.

Не надо смешивать две сети, даже через алиасы!