Доброво всем времени...

Работаю в универе.
Имеется сеть 222.111.111.0/28 реальных IP. На каждом из IP стоит свой сервак для целей отделов(Web,Samba,FTP,torrent).
Все хосты в этой сети подключены в один vlan на catalyst, и следовательно видят друг друга.

222.111.111.1 - шлюз провайдера. через него все ходят в инет.
222.111.111.3-10 - сервера отделов
222.111.111.2 - "главный" сервер в котором имеется 3 сетевых интерфеса.
eth0 - пока не исп-ся
eth1 - 222.111.111.2 - через него ходит в нет
eth2 - 1.0.0.2 - вторая подсеть, в ней находятся обычные юзера которые сидят в инете через прокси Squid

На этом сервере стоит SQUID, и софт для подсчета трафика (fprobe, flows-tools). Свой трафик считает нормально.

Необходимо сделать из этого сервера шлюз, чтобы весь трафик шел через него, и настроить "маршрутизацию" так, чтобы хосты с реальных IP могли ходить в инет, и также с инета можно было бы подключатся к этим хостам по ip/dns(к веб серверам, по ssh, к ftp...)

---------------------------------------------------------------------------
Что как мне кажется нужно сделать (ИСПРАВЬТЕ ЕСЛИ ЧТОТО НЕ ТАК)
1. Первым делом кабель от провайдера выдернуть с свича и воткнуть в eth0 :)
2. Дать IP этому интерфейсу (какой? подсеть? свободные ip еще есть)
3. Както настроить чтото похожее на NAT, но только чтобы ip источников/получателей не маскарадились(изменялись)...?

Вобщем прошу вашего совета. С чего начать, и как все это дело провернуть.

П.С. Главная цель всего этого мероприятие - контроль за использованием трафика этими "серверами", и организация своего рода единого файрвола для всей сети(но это потом).

• Маршрутизация для сети с реальными IP через один шлюз,Andrey Mitrofanov, 15:47 , 14-Окт-10
  • Маршрутизация для сети с реальными IP через один шлюз,D_Darth, 15:53 , 14-Окт-10
• Маршрутизация для сети с реальными IP через один шлюз,PavelR, 16:45 , 14-Окт-10
  • Маршрутизация для сети с реальными IP через один шлюз,PavelR, 16:46 , 14-Окт-10
    • Маршрутизация для сети с реальными IP через один шлюз,D_Darth, 16:52 , 14-Окт-10
• Маршрутизация для сети с реальными IP через один шлюз,D_Darth, 11:26 , 16-Окт-10
• Маршрутизация для сети с реальными IP через один шлюз,tux2002, 17:13 , 23-Окт-10
  • Маршрутизация для сети с реальными IP через один шлюз,tux2002, 17:19 , 23-Окт-10
  • Маршрутизация для сети с реальными IP через один шлюз,D_Darth, 22:07 , 23-Окт-10

> На этом сервере стоит SQUID, и софт для подсчета трафика (fprobe, flows-tools).
> Свой трафик считает нормально.
> Необходимо сделать из этого сервера шлюз, чтобы весь трафик шел через него,
> и настроить "маршрутизацию" так, чтобы хосты с реальных IP могли ходить

Я делал "сервер" с двумя интерфейсам "мостом", внешний шлюз включал с одной стороны, др.серверы - с другой и "просто" настраивал iptables. И да, у меня транзитный трафик на мосту фильтровался. Про подсчёт трафика - не скажу.

[Шлюз пров.] <-- [eth0: "сервер" :eth1] --> ....локалка с остальными серверами

eht0+eth1 -> в мост, собственный ip сервера на мост и т.д.

> Я делал "сервер" с двумя интерфейсам "мостом", внешний шлюз включал с одной
> стороны, др.серверы - с другой и "просто" настраивал iptables. И да,
> у меня транзитный трафик на мосту фильтровался. Про подсчёт трафика -
> не скажу.
> [Шлюз пров.] <-- [eth0: "сервер" :eth1] --> ....локалка с остальными серверами
> eht0+eth1 -> в мост, собственный ip сервера на мост и т.д.

Если можно, то поподробнее, так как в моем случае я даже не знаю за что зацепится.
Про подсчет... думаю и так будет считать если настрою "маршрутизацию"

гугл на тему "lartc proxy_arp"

и читаем до просветления. Возможно, вас устроит это решение.

> гугл на тему "lartc proxy_arp"
> и читаем до просветления. Возможно, вас устроит это решение.

а, да - поиск на тему "proxy_arp" без уточнения "lartc" дает другой результат поиска, не менее информативный.

>> гугл на тему "lartc proxy_arp"
>> и читаем до просветления. Возможно, вас устроит это решение.
> а, да - поиск на тему "proxy_arp" без уточнения "lartc" дает другой
> результат поиска, не менее информативный.

Не сразу понял что имелось ввиду, теперь понял. Завтра попробую.

прочитал про proxy_arp, как я понял - это то что мне нужно. Сделал все как тут http://www.opennet.me/tips/info/923.shtml написано, но пакеты не идут дальше 222.111.111.2.

И еще, какой шлюз нужно указывать на тачках которые будут ходить в инет. Я ставил и 222.111.111.1(шлюз пров-ра) и 222.111.111.2(сервак-мост) - безрезультатно.

П.С. Заметил такую странность, сидя за этим мостом, у меня пинги в инет не проходят, хотя скайп почемуто показывает список контактов, и также показовал народ который входит и выходит из сети.

----------------------------------------------------------------------------
proxy:~# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
222.111.111.1   *               255.255.255.255 UH    0      0        0 eth0
1.0.0.0         *               255.255.255.0   U     0      0        0 eth2
localnet        *               255.255.255.0   U     0      0        0 eth1
default         222.111.111.1   0.0.0.0         UG    0      0        0 eth1
default         222.111.111.1   0.0.0.0         UG    0      0        0 eth0
proxy:~#
------------------------------------------------------------------------------
proxy:~# ifconfig
eth0      Link encap:Ethernet  HWaddr 02:1d:60:3f:06:71  
          inet addr:222.111.111.2  Bcast:222.111.111.255  Mask:255.255.255.0
          inet6 addr: fe80::21d:60ff:fe3f:671/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:680362 errors:0 dropped:0 overruns:0 frame:0
          TX packets:401896 errors:0 dropped:0 overruns:0 carrier:6
          collisions:0 txqueuelen:1000
          RX bytes:1016114136 (969.0 MiB)  TX bytes:0 (0.0 B)
          Memory:dffc0000-e0000000

eth1      Link encap:Ethernet  HWaddr 02:19:e0:0a:fe:9c  
          inet addr:222.111.111.2  Bcast:222.111.111.255  Mask:255.255.255.0
          inet6 addr: fe80::219:e0ff:fe0a:fe9c/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:147241 errors:0 dropped:0 overruns:0 frame:0
          TX packets:80662 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:189612567 (180.8 MiB)  TX bytes:7981639 (7.6 MiB)
          Interrupt:17 Base address:0xc400

eth2      Link encap:Ethernet  HWaddr 02:00:1c:d0:eb:15  
          inet addr:1.0.0.2  Bcast:1.0.0.255  Mask:255.255.255.0
          inet6 addr: fe80::200:1cff:fed0:eb15/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:358503 errors:0 dropped:0 overruns:0 frame:0
          TX packets:921221 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:26345341 (25.1 MiB)  TX bytes:1270601801 (1.1 GiB)
          Interrupt:21 Base address:0xc800

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:741 errors:0 dropped:0 overruns:0 frame:0
          TX packets:741 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:172956 (168.9 KiB)  TX bytes:172956 (168.9 KiB)

proxy:~#

Можно включить все хосты в один коммутатор и подключить коммутатор к сети провайдера. Подсчёт траффика на каждом сервере индивидуально.

> Можно включить все хосты в один коммутатор и подключить коммутатор к сети
> провайдера. Подсчёт траффика на каждом сервере индивидуально.

Если всё таки стоит задача контроллиовать траффик на маршрутизаторе, попробуйте арендовать у провайдера дополнительную сеть с широкой маской для выхода в интернет.

> Можно включить все хосты в один коммутатор и подключить коммутатор к сети
> провайдера. Подсчёт траффика на каждом сервере индивидуально.

Этот вариант не приемлем - считать трафик провайдером, так как нужно будет в будующем не только считать, но и контролировать. Proxy arp как мне кажется - для моей задачи в самый раз, вот только я не могу его заставить работать.