форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[ Отслеживать ]

"Шлюз меж двух локальных сетей"

Сообщение от MAD_User on 01-Апр-08, 15:54

Добрый день всем! Есть вопрос. Начну с описания системы: имеется локальная сеть 192.168.0.0/24, в сети установлена машинка смотрящая в Интернет с ОСью FreeBSD на нем поднято ipfw+nat(192.168.0.7), далее чтобы пользователи могли выходить в инет стоит машинка на ОСи FreeBSD с поднятым на нем SQUIDом и соответственно в качестве шлюза у этой машины прописан 192.168.0.7, также исть почтовик у которого тоже прописан шлюз 192.168.0.7. Все работает супер. Теперь у меня появилась задача присоединить к имеющейся локальной сети еще одну 10.7.129.0/24. Поставил на машинку FreeBSD (fxp0=192.168.0.160, de0=10.7.129.10)откомпелил ядро с параметрами IPFIREWALL, IPFORWARD в файл rc.conf добавил gateway_enable="YES", firewall_enable="YES", sysctl net.inet.ip.fw.enable=1,добавил правило ipfw add allow all from any to any. Далее на клиентских машинах указал эту машину как основной шлюз. Клиентские машинки пингуются из сетки в сетку отл. но на шлюзе появляются постоянно сообщения: (имя машины)kernel:arp: 192.168.0.32 is on fxp0 but got reply from 00:07:c9:06:4f:88 on de0 Где грабли подскажите пожалуйста. И вопрос номер два. Как мне быть с машинкой на которых стоит почта прокси , у них же прописан шлюз другой машины и соответственно из сети 10.7.129.0/24 эти две машины не ведны, а если прописать адрес шлюза соединяющего две сетки то как зделать редирект на машинку с натом ? Помогите пожалуюста. Заранее благодарен.

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Шлюз меж двух локальных сетей"

Сообщение от 1ight_apprentice (ok) on 01-Апр-08, 16:07

>[оверквотинг удален] >(имя машины)kernel:arp: 192.168.0.32 is on fxp0 but got reply from 00:07:c9:06:4f:88 on >de0 >Где грабли подскажите пожалуйста. >И вопрос номер два. Как мне быть с машинкой на которых стоит >почта прокси , у них же прописан шлюз другой машины и >соответственно из сети 10.7.129.0/24 эти две машины не ведны, а если >прописать адрес шлюза соединяющего две сетки то как зделать редирект на >машинку с натом ? >Помогите пожалуюста. Заранее благодарен. > А у Вас, что обе сети сидят на общем хабе? Тогда какой смысл в двух сетях? И какой смысл держать squid не на шлюзе, смотрящем в интренет? ИМХО избыточно сложная конфигурация. Можно проще.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Шлюз меж двух локальных сетей"
	Сообщение от MAD_User on 01-Апр-08, 16:20
	>[оверквотинг удален] >>прописать адрес шлюза соединяющего две сетки то как зделать редирект на >>машинку с натом ? >>Помогите пожалуюста. Заранее благодарен. >> > >А у Вас, что обе сети сидят на общем хабе? Тогда какой >смысл в двух сетях? И какой смысл держать squid не на >шлюзе, смотрящем в интренет? > >ИМХО избыточно сложная конфигурация. Можно проще. смысл в двух сетях есть, он заключается в следующем: мне его навязали. Смысл раздельно держать squid тож есть...мне проще..... Молодой человек а подсказать по делу чего нибудь? Зачем тогда было писать?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Шлюз меж двух локальных сетей"
	Сообщение от mmm (??) on 01-Апр-08, 16:36
	http://www.bsdportal.ru/viewtopic.php?p=10797&highlight=&sid... глянь тут.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Шлюз меж двух локальных сетей"
	Сообщение от MAD_User on 01-Апр-08, 16:46
	>http://www.bsdportal.ru/viewtopic.php?p=10797&highlight=&sid... >глянь тут. спасибо за ссылку добрый человек :) , а по поводу редиректа двух серверов через шлюз на машинку с натом не можешь подсказать ?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "Шлюз меж двух локальных сетей"
	Сообщение от Grey (ok) on 02-Апр-08, 14:56
	>http://www.bsdportal.ru/viewtopic.php?p=10797&highlight=&sid... >глянь тут. а я вот ради интереса глянул по ссылке .. первые несколько постов почитал и плюнул ... бред какой-то ... проблему решать не нужно, нужно голову в песок сунуть и всё ... :) дет.сад.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Шлюз меж двух локальных сетей"
	Сообщение от 1ight_apprentice (ok) on 01-Апр-08, 18:57
	>[оверквотинг удален] >> >>А у Вас, что обе сети сидят на общем хабе? Тогда какой >>смысл в двух сетях? И какой смысл держать squid не на >>шлюзе, смотрящем в интренет? >> >>ИМХО избыточно сложная конфигурация. Можно проще. > >смысл в двух сетях есть, он заключается в следующем: мне его навязали. >Смысл раздельно держать squid тож есть...мне проще..... Молодой человек а подсказать >по делу чего нибудь? Зачем тогда было писать? Поясняю: ошибки в лог у Вас валятся именно потому, что один и тот же MAC виден на нескольких интерфейсах сразу. Так быть не должно. Это раз. Вынося squid с компа, на котором шлюз, вы тем самым не упрощаете, а усложняете конфигурацию сети, а кроме того, сами себе создаёте двойной трафик, ибо клиент посылает запрос на squid, тот в свою очередь через шлюз отсылает его наружу, получает ответ и пересылает его клиенту. И весь это лишний трафик ходит по Вашей же сети. Оно Вам надо? Тогда пожалуйста. Это два. Теперь о коммутировании двух разных сетей в одном хабе. Здесь трафик, который вы завернёте на squid из второй сети уже не удвоится, а утроится, потому что сначала вы его прогоните на шлюз, который между сетями, который в свою очередь прогонит его на squid, который пошлёт его наружуи потом всё тоже самое в обратную сторону. Опять-таки, оно Вам надо? Если желание создавать самому себе головную боль не исчезло, то объясняю как сделать её (боль) максимальной. 1. На шлюзе, который смотрит в 10-что-то-там надо сделать одно из двух:   а) Включить forwarding между интерфейсами. Брэндмауэр с политикой "пропускать всё" можно отключить для повышения быстродействия шлюза.   б) Если уж используете брэндмауэр, то включите на нём NAT и транслируйте адреса сети 10.* в адрес на втором интерфейсе.   В обоих случаях шлюзом по умолчанию необходимо выставить основной шлюз в сети 192.*. 2. Если вариант 1, то на основном шлюзе надо прописать маршрут в сеть 10.* через адрес второго шлюза.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Шлюз меж двух локальных сетей"
	Сообщение от MAD_User on 02-Апр-08, 09:01
	>[оверквотинг удален] > >  а) Включить forwarding между интерфейсами. Брэндмауэр с политикой "пропускать всё" >можно отключить для повышения быстродействия шлюза. >  б) Если уж используете брэндмауэр, то включите на нём NAT >и транслируйте адреса сети 10.* в адрес на втором интерфейсе. >  В обоих случаях шлюзом по умолчанию необходимо выставить основной шлюз >в сети 192.*. > >2. Если вариант 1, то на основном шлюзе надо прописать маршрут в >сеть 10.* через адрес второго шлюза. Я с вами обсалютно согласен по поводу двойного трафика squid на firewall и обратно, но представте ситуацию: у меня в парке 200 машин сервера оч старые ломаются.....и вот ситуация squid + firewall на одной машинке......и она ломается......даж ведь почты не будит....а так хотяб если вылетает squid то хотяб почта имется. А вот НАТ я к сожалению не могу использовать в своей сети.....НЕЛЬЗЯ :(.... а так конечно НАТ мне бы упростил все намного в моей ситуации. Спасибо огромное за инфу мне есть над чем подумать.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Шлюз меж двух локальных сетей"
	Сообщение от 1ight_apprentice (ok) on 02-Апр-08, 09:25
	>[оверквотинг удален] >>сеть 10.* через адрес второго шлюза. > >Я с вами обсалютно согласен по поводу двойного трафика squid на firewall >и обратно, но представте ситуацию: у меня в парке 200 машин >сервера оч старые ломаются.....и вот ситуация squid + firewall на одной >машинке......и она ломается......даж ведь почты не будит....а так хотяб если вылетает >squid то хотяб почта имется. А вот НАТ я к сожалению >не могу использовать в своей сети.....НЕЛЬЗЯ :(.... а так конечно НАТ >мне бы упростил все намного в моей ситуации. Спасибо огромное за >инфу мне есть над чем подумать. Лучше держите второй сервер (тот, на котором сейчас squid) как запасной и регулярно (желательно - при каждом изменении) дублируйте на него конфигурацию основного (того, на котором сейчас шлюз). Тогда в случае чего вы просто перетыкаете один провод (внешний) и меняете один адрес. Про автоматичнскую отказоустойчивую конфигурацию говорить не буду - в Вашем случае это не нужно. Дело в том, что в сети, где больше 15-20 узлов в одном сегменте проблема трафика уже присутствует без всяких удвоений (и тем более утроений). Ибо таковы особенности работы протокола CSMA/CD (это на котором весь Ehernet держится). В Вашем случае как я понимаю в одном сегменте (большинство хабов сеть на сегменты к сожалению не делят) находится много больше 20 узлов. И удваивать трафик в этом случае - это удваивать проблемы.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "Шлюз меж двух локальных сетей"
	Сообщение от MAD_User on 02-Апр-08, 09:45
	>[оверквотинг удален] > >Дело в том, что в сети, где больше 15-20 узлов в одном >сегменте проблема трафика уже присутствует без всяких удвоений (и тем более >утроений). Ибо таковы особенности работы протокола CSMA/CD (это на котором весь >Ehernet держится). > >В Вашем случае как я понимаю в одном сегменте (большинство хабов сеть >на сегменты к сожалению не делят) находится много больше 20 узлов. >И удваивать трафик в этом случае - >это удваивать проблемы. Согласен. У меня такая система уже года 2 стоит, и я уже начинал задумываться о том чтоб перетащить squid на одну машину вместе с firewallом и там сделать прозрачный прокси сервер. Но к сожадению пока нет такой возможности, поскольку если делать такое то необходима свеженькая машинка, а не то старье что сейчас иначе ломаться так и будит
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "Шлюз меж двух локальных сетей"
	Сообщение от 1ight_apprentice (ok) on 02-Апр-08, 11:32
	>необходима свеженькая машинка, а не то старье что сейчас FreeBSD, в отличие от Windows, к железу жёстко не привязывается. Поэтому возможен вариант сделать "правильную" конфигурацию на одном компе, а потом просто перенести диск на основной комп. Из лишнего железа нужен один диск.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "Шлюз меж двух локальных сетей"
	Сообщение от MAD_User on 02-Апр-08, 14:01
	>>необходима свеженькая машинка, а не то старье что сейчас > >FreeBSD, в отличие от Windows, к железу жёстко не привязывается. Поэтому возможен >вариант сделать "правильную" конфигурацию на одном компе, а потом просто перенести >диск на основной комп. Из лишнего железа нужен один диск. Ну наверное так и сделаю.Спасибо большое за помощь :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Шлюз меж двух локальных сетей"

Сообщение от Grey (??) on 02-Апр-08, 14:35

>Поставил на машинку FreeBSD (fxp0=192.168.0.160, de0=10.7.129.10)откомпелил ядро с параметрами IPFIREWALL, т.е. оба интерфейса смотрят в один свич? - НЕВЕРНО! >net.inet.ip.fw.enable=1 имхо лишнее >Клиентские машинки пингуются из сетки >в сетку отл. но на шлюзе появляются постоянно сообщения: >(имя машины)kernel:arp: 192.168.0.32 is on fxp0 but got reply from 00:07:c9:06:4f:88 on >de0 >Где грабли подскажите пожалуйста. грабли как раз в самом начале :) на fxp0 вешать алиасом 10.7.129.10 и не парить мозг. (ну или разносить эти два интерфейса по разным сегментам) по всему остальному: выяснить где у вас МАРШРУТИЗАТОР, клиенты должны смотреть дефолтом в маршрутизатор, а уже на нём прописывать нужные маршруты. (шлюз для каждого клиента должен лежать в одной сети с самим клиентом)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]