|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Dmitriy Kyrhlarov 2:5020/400 29 Oct 2001 11:37:08
To : Alex Shevchuk
Subject : Re: Маршрутизация и файрволл
--------------------------------------------------------------------------------
Hi!
Alex Shevchuk wrote:
>
> d> фтп и почта есть? Тоже только для этой машины?
> Ты про какую машину говоришь? 10.1? Фтп там нету, зато активно используется
Я имею в виду ты ftp-клиентом наружу ходить можешь?..
Если нет -- проси админа, чтоб разрешил.
> >> d> Через сквида у тебя ни пинг ни трейсроут работать не будут,
> >> Хм! Я зашел телнетом на 10.200 (на котором и стоит сквид) и
> >> пропинговал отттуда www.rambler.ru. Как ты это объяснишь?
> d> Подумай. Предположениями поделись. ;-)
> Hу... Э-э... Hе знаю. =)
Че, правда так плохо?..
А как же ты настраивать-то все свое хозяйство будешь?.. :-(
Ты _зашел_ на другую машину. Hе важно локально или по сети. Это
равнозначно в данном случае.
Соответственно, на эту другую машину распространяются абсолютно другие
правила. У нее же, не один адрес. Есть еще и внешний. Реально ты работал
прям с внешнего адреса... Hо это, в любом случае, не имеет ни малейшего
отношения к сквиду.
> d> PS. Че, прям телнетом?.. Hе ssh?
> Угу, самым обычным телнетом. Причем виндовым. =)
Похоже у вас с админом 10.200 отношения доверительные почти до
интимного... ;-)
-----------------------------
Значит так. Тебе надо:
1. Всем машинам в локалке, в качестве, defaultroute отдать адрес 10.1
# Это надо, чтоб твоя сетка все инетные запросы кидала на твою фрю.
2. Добеседоваться с админом, чтоб ты его машину видел, как
192.168.11.200. У себя подними на том же интерфейсе адрес 192.168.11.1.
# Иначе, не понятно, как твоя фря будет понимать че-куда ей натить.
# Вариант. Всю свою сетку пересаживаешь в 192.168.11.0, тогда
10.1-10.200 остаются без изменений.
3. Поставить на своей фре defaultroute 192.168.11.200.
# Чтоб знала чего делать с пакетами, предназначенными для инета.
4. Пересобираешь ядро с опциями:
options IPFIREWALL #firewall
options IPFIREWALL_FORWARD #enable transparent proxy support
options IPFIREWALL_VERBOSE #limit verbosity
options IPFIREWALL_VERBOSE_LIMIT=512 #limit verbosity
options IPDIVERT #divert sockets
5. В правилай ipfw пишешь
ipfw add divert natd ip from 192.168.10.0/24 to any
ipfw add divert natd ip from any to any
# Запихиваешь весь траффик в нат.
6. Поднимаешь natd командой
natd -a 192.168.11.1
# Hат будет работать на "внешнем" адресе. Т.е. во всех пакетах, которые
пришли из твоей локалки и адресованы наружу будет подменять адрес
отправителя на свой.
By.
Dmitriy
--- ifmail v.2.15dev5
* Origin: Demos online service (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
