[Comm] Bridging firewall
РЦОК-Ростов
=?iso-8859-1?q?sibvaleo_=CE=C1_aaanet=2Eru?=
Чт Сен 16 17:19:36 MSD 2004
Здравствуйте!
Eugene Prokopiev пишет:
> для того, чтоб устраивать firewall (а также что-то считать) на бридже,
> нужен ebtables (ebtables.sf.net). Я его даже собирал для ядра ALM 2.2
> около года назад - поищите мои письма на эту тему в архиве рассылки
Подскажите, пожалуйста, каковы преимущества работы шлюза в качестве
бриджа? Верно ли я понимаю, что бридж интересен тем, что при наличии
реальных ip-адресов он может работать "прозрачно" для сети, т.е. - даже
не иметь ip-адреса на интерфейсе в сети откуда надо передавать пакеты?
(Интерфейс переводится в promisc mode и пакеты предназначенные для
другой сети сразу попадают на другой интерфейс). Но какой в этом смысл,
если сейчас практически все испльзуют свитчи? И чем этот вариант лучше
следующего:
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s xxx.xxx.x.x/xx -o ppp0 -j MASQUERADE
В простейшем виде - и уже работает. (Осталась настроить iptables).
Меня интересует при помощи чего лучше настроить шлюз для маленького
офиса с маскарадингом и файрволом?
Варианты:
1. Бридж (с патчем ядра);
2. Сквид;
3. Маскарадинг (вариант описанный мной выше).
4. Что-то ещё?
Google не помог найти статейки сравнивающей разные способы создания
роутера/шлюза/файрвола в одном лице. Я находил лишь статьи по настройке
какого-то одного из вышеперечисленных методов.
Буду очень благодарен. (Даже, и особенно, за полезные ссылки по теме).
--
С уважением, Виктор sibvaleo {at} aaanet.ru
Подробная информация о списке рассылки community