[Sysadmins] iptables/nat и несколько одинаковых сетей

Dmitriy L. Kruglikov =?iso-8859-1?q?Dmitriy=2EKruglikov_=CE=C1_orionagro=2Ecom=2Eua?=
Вс Ноя 19 12:19:51 MSK 2006 

На календаре было: Суббота, 18 Ноябрь 2006 года,
Eugene Prokopiev писал(а) в сообщении: 

EP == Eugene Prokopiev


EP> Вы хотите поговорить об этом? ;) (с)
Ну, скорее, вы, чем я :) Совет-то нужен вам ...
А я хочу, всего лишь, понять, где собака ...

EP> Кроме того, каждый VE имеет veth-интерфейс, на котором куча адресов, в 
EP> том числе и из сети 192.168.100.0/24, которая к первой не меет никакого 
EP> отношения. 
Вот тут мне не совсем понятно... Простите за тупость ... :)

Если есть адрес из сети 192.168.100.0/24, то он уже имеет к ней отношение ...
Я так полагаю, что в сети 192.168.100.0/24 где-то есть "умная" железка, 
именуемая маршрутизатором, которая разруливает адреса IP в MAC ...
И она должна находить veth-интерфейсы, и предоставлять информацию.
Стало быть, предположение "которая к первой не меет никакого отношения",
вызывает у меня сомнения...


EP> Все такие veth-интерфейсы вместе с одним физическим 
EP> интерфейсом HN сидят в одном бридже. 
Мне кажется, в вашей сети должно быть не менее двух маршрутизаторов.
Попробуйте посмотреть трассы "от" и "до" ...

EP> По ту сторону бриджа находится куча 
EP> разных устройств, конфигурируемых по IP. И вот их первоначальные 
EP> интерфейсы определяются производителями и могут быть какими угодно. 
Железки такого класса, которые попадали в руки мне, иногда имеют порты для настройки...
COM, USB ... Для того, чтобы поднять конфиг и сетку ...
Но это мелочи ...

И так, вопрос:
Какое устройство "знает" о наличии в природе сетей 
192.168.100.0/24, 
192.168.199.0/24, 
10.0.0.0/24
К кому обращаются все машины в сети с вопросами?
Может быть, этому устройству нужно пояснить командами типа
route add (ip route add) и так далее ...
Если у вас нет реально сети 10.0.0.0/24, а устройства вида 10.0.0.*/32
разбросаны как попало, то нужно будет добавить маршруты на каждое такое устройство.

Вопрос второй:
Если у вас в сети несколько шлюзов между вашими сетями, то вероятно
нужно будет настраивать маскирование (NAT) на каждом шлюзе для каждого исходящего адреса ...

EP> 
EP> И чего можно придумать для прямого доступа к VE из сети 192.168.100.0/24?
EP> 
А не попробовать ли выполнять маскирование исходящих запросов непосредственно на машине,
на которой установлены VE ?

И рекомендую еще раз посмотреть на топологию своей сети ...
Я не могу понять, как машина с двумя сетевыми интерфейсами может понять, 
что адреса из сети 192.168.100.0/24 могут находиться как за интерфейсом
eth0, так и за eth1 ...
Это крайне анатомический путь через тернии к гландам ...
Я не спорю, вероятно можно так извратиться, но стоит ли?





--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_orionagro.com.ua   |@_@ |
 DKR6-RIPE                               |!_/ |
 ICQ# 13047326                          //   \ \
 XMPP:dkr6 на jabber.ru                   (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
- Тук-тук!
- Кто там?
- Это я, веб-браузер!
- А фреймы поддерживаешь?
- Не-е-а!
- Тогда и за веревочку не дергай!

Подробная информация о списке рассылки Sysadmins