[Sysadmins] bridge + routing (nat)

Andrey Kuleshov =?iso-8859-1?q?drew_=CE=C1_bumer=2Ecom=2Eua?=
Вт Янв 3 16:28:11 MSK 2006


Здравствуйте!

Нужное вам легко реализуется использованием DMZ
Поставьте в роутер третий интерфейс (схема с одним файрволом), к нему
подключите hab/switch и дальше компы, что должны быть видны из инета.
Дальше все настраивается средствами iptables.
Видимый недостаток: интерфейсу DMZ должен быть присвоен реальный IP.

PS. Известны схемы построения DMZ с использованием одного и двух файрволов.

PPS. Взамен NAT я бы использовал прокси

Alexey Morsov пишет:

>Привет,
>
>Имею:
>локалку выпускаемую в инет через роутер на linux
>
>lan <-> hab/switch <-> router <-> optical modem <-> inet
>
>Т.е. сейчас все сделано на роутинг с nat. Роутер с двумя ифейсами, одним в
>локалке другим в выделенной провом сетке (будем называеться ее реальной).
>
>Вроде, после долгих отловов глюков сегодня после вчерашнего перезда на
>новый канал все теперь работает (а всего-то где-то в прововских днс-ах
>почему-то старый ip осел, ну да бог с ним) как и работало на старом
>канале.
>
>Однако этот пров выдал /28 подсеть - т.е. есть отличная возможность
>перенести в их адресное пространство пару наших компов (в частности mail и
>spot) для разгрузки того бедного isdn в 128кбит на котором они живут до
>сих пор.
>Но выставлять их в сеть напрямую как-то не правильно. Надо за файервол
>посадить.
>
>Как я понял тут нужна схема
>
>lan  (192.) <-->+---+  +-------------+ <--> modem <-> inet
>                |hub|<->  router     |
>mail (85.)  <-->|   |  | (bridge+nat)|
>spot (85.)  <-->+---+  +-------------+
>
               +---+NAT+------+
lan (192.) <-->|hub|<->|router|<--> modem <-> inet
               +---+   +------+
                          ^
                          |
                          v
                        +---+
                        |hub|
                        +---+
                          ^
                          |
                          v
                         DMZ
                       +-----+
                       |(85.)|
                       |mail |
                       |spot |
                       |etc  |
                       +-----+

>
>Опять же как я понял, bridge это когда создается некий виртуальный
>интерфейс связывающий оба интерфейса роутера но с единым ip (или даже
>вообще без него?) - т.е. типа как провода спаяли вместе.
>Плюс, как я понял, изначально iptables и bridge друг друга не очень видят.
>Пробовал создавать bridge - создается, в ip route list присутствует. Но
>папеты перестают ходить напрочь, даже с локального хоста.
>
>Вообщем - вопрос: что есть конкретно про такое объединение почитать? ссылки.
>Гуглил полдня. Накопал много. Но как-то все по отдельности. ALN Howto читаю - но там
>как-то вскольз (или я просто не понял). Видел ebtables - вроде бы то что
>надо, но есть ли оно у нас в Master24?
>Вообщем ткните в более бодробную документацию именно по объединению bridge
>с nat.
>

-- 

 AK1041-UANIC
 





Подробная информация о списке рассылки Sysadmins