|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Alexander Fatykhov 2:5020/400 14 Mar 2005 17:25:42
To : Alexander V. Zinin
Subject : Re: 2 ната на одной машине
--------------------------------------------------------------------------------
Hello, All!
AVZ> Тут проблема в маршрутах.
AVZ> У тебя две сетки пересекаются.
AVZ> Hадо четко продумать откуда чего должно идти и правильно пропускать
AVZ> это через правила.
что куда и откуда
мои внутренние клиенты (10.10.10.0/24) должны видеть ресурсы подсетей обоих
провов (192.168.1.0/24 и 10.5.5.0/24) всегда, причём не просто видеть их, а
при обращении представляться не своим адресом (10.10.10.0/24), а
соответствующим серым (192.168.1.7 для 192.168.1.0/24 и 10.5.5.5 для
10.5.5.0/24). т.к. по умолчанию работает нат на 10.5.5.5, то в подсеть
10.5.5.0/24 нормально идём представлясь 10.5.5.5.
так же нужно и 192.168.1.0/24. это не моя прихоть, просто в этой подсети
есть ресурсы и они открыты только для этой подсети, т.е. других не
пускают!!!
и у шлюза прова 192.168.1.1 стоит проверка мака и ип, т.е. чего наружу
пустится только 192.168.1.7 с маком сетевой, т.е. тут точно нужен нат!!!
после экспериментов получилось так:
для основного ната
соответственно один нат прекрасно работает
/sbin/natd -d -s -m -u -p natd -a 10.5.5.5
${fw} check-state
${fw} divert natd all from any to any via ed1 #${natd_interface}
${fw} allow icmp from any to any via ed1
${fw} allow ip from any to any out via ed1
${fw} allow ip from any to any setup via ed1
${fw} allow tcp from any to any established via ed1
${fw} allow udp from any to any via ed1 keep-state
${fw} deny log ip from any to any
для второго прова:
/sbin/natd -d -s -m -u -p 8888 -a 192.168.1.7
правила сразу после предыдущих
${fw} divert 8888 log ip from 10.10.10.0/24 to not 192.168.1.7
${fw} fwd 192.168.1.1 log ip from 192.168.1.7 to not
10.10.10.0/24,192.168.1.0/24
${fw} divert 8888 log ip from not 192.168.1.7,10.10.10.0/24 to 192.168.1.7
${fw} allow log ip from 192.168.1.7 to any setup
${fw} allow log ip from any to any via ed0 established
${fw} allow icmp from any to any via ed0
оно пашет, но не до конца:
если в начале списка правил поставить ipfw add 1 skipto 10000 all from
10.10.10.93 to any (10000 - певрвое правило для второй подсети - divert
8888...)
то 10.10.10.93 соответственно _выползает_ в инет через второго прова
HО не видно подсети второго прова 192.168.1.0/24 (можео только пингануть
шлюз 192.168.1.1 и то с фри) этот клиент (принудительно пущенный через
второго прова) ничего не может пингануть в мире
и другой прикол - у меня стоят log ip, так вот, почему то (в данном примере)
запросы от 10.10.10.93 идут via ed1 - т.е. через первго прова, а вот ответы
идут уже via ed0...
--
Отправлено через сервер Форумы@mail.ru - http://talk.mail.ru
--- ifmail v.2.15dev5.3
* Origin: Talk.Mail.Ru (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
