[Comm] Bridging firewall

[РЦОК-Ростов]

Здравствуйте!

Eugene Prokopiev пишет:

> для того, чтоб устраивать firewall (а также что-то считать) на бридже, 
> нужен ebtables (ebtables.sf.net). Я его даже собирал для ядра ALM 2.2 
> около года назад - поищите мои письма на эту тему в архиве рассылки

Подскажите, пожалуйста, каковы преимущества работы шлюза в качестве 
бриджа? Верно ли я понимаю, что бридж интересен тем, что при наличии 
реальных ip-адресов он может работать "прозрачно" для сети, т.е. - даже 
не иметь ip-адреса на интерфейсе в сети откуда надо передавать пакеты? 
(Интерфейс переводится в promisc mode и пакеты предназначенные для 
другой сети сразу попадают на другой интерфейс). Но какой в этом смысл, 
если сейчас практически все испльзуют свитчи? И чем этот вариант лучше 
следующего:
  echo "1" > /proc/sys/net/ipv4/ip_forward
  iptables -t nat -A POSTROUTING -s xxx.xxx.x.x/xx -o ppp0 -j MASQUERADE

В простейшем виде - и уже работает. (Осталась настроить iptables).

Меня интересует при помощи чего лучше настроить шлюз для маленького 
офиса с маскарадингом и файрволом?

Варианты:
1. Бридж (с патчем ядра);
2. Сквид;
3. Маскарадинг (вариант описанный мной выше).
4. Что-то ещё?

Google не помог найти статейки сравнивающей разные способы создания 
роутера/шлюза/файрвола в одном лице. Я находил лишь статьи по настройке 
какого-то одного из вышеперечисленных методов.

Буду очень благодарен. (Даже, и особенно, за полезные ссылки по теме).

-- 
С уважением,  Виктор                        sibvaleo {at} aaanet.ru