| Pallot |
03-11-2006 11:58 506324 |
Маршрутизация на 4 сетевых
Иметься 4 сетевые карты, 2 смотрят в локальную сеть, 2 в Inet (ADSL). FreeBSD 6.1
loc1 -> 172.10.0.1
loc2 -> 172.20.0.1
net1 -> 192.10.0.1
net2 -> 192.20.0.1
Возможно ли настроить маршрутизацию таким образом:
loc1 -> net1
loc2 -> net2
??
|
| kaEwituS |
03-11-2006 13:08 506374 |
Pallot
Цитата:
Возможно ли настроить маршрутизацию таким образом:
loc1 -> net1
loc2 -> net2
|
В полне возможна, другой вопрос вот как?:)
по этому есть документация, она Вам поможет, тут всё в конкретных примерах
Сетевые шлюзы
Мосты
|
| fossil |
03-11-2006 13:13 506382 |
Цитата:
Возможно ли настроить маршрутизацию таким образом:
|
Конечно возможно. Для этого надо добавить правила в цепочку FORWARD |
| Pallot |
03-11-2006 13:28 506389 |
fossil
Цитата:
Конечно возможно. Для этого надо добавить правила в цепочку FORWARD
|
а где об этом можно почитать??
Я думал что надо поправить таблицу роутинга (перед этим очистив ее, дабы пакеты шли именно туда куда надо).
|
| kaEwituS |
03-11-2006 13:30 506391 |
Pallot
Зайдите на ссылки которые я Вам дал, там говорю всё есть...
|
| Pallot |
03-11-2006 13:39 506400 |
kaEwituS
Цитата:
В полне возможна, другой вопрос вот как?
по этому есть документация, она Вам поможет, тут всё в конкретных примерах
Сетевые шлюзы
Мосты
|
читал, думал...
картина такая получается:
в /etc/sysctl.conf пишем
Код:
net.link.ether.bridge.enable=1
net.link.ether.bridge.config=loc1,net1
net.link.ether.bridge.config=loc2,net2
net.link.ether.bridge.ipfw=1
далее настраивать IPFW
Это вариант будет работать??
и будет ли он приемлем если необходим доступ к внутренним маил северам извне с точки зрения безопасности??
Или роутинг: в файл /etc/rc.conf:
Код:
static_routes="net1 net2"
route_net1="-net loc1 net1"
route_net2="-net loc2 net2"
но в таком случае надо маршруты по умолчанию как то прибить, что бы пакеты ходили только от loc1 к net1 и не падали на net2 (хотя вот подумалось: в случае отказа одного из модемов, перенаправить трафик loc1 к net2).
p.s. Эта машина будет стоять в качестве пограничного роутера перед DMZ сетью (первая линия обороны :) )
|
| kaEwituS |
03-11-2006 14:04 506409 |
Цитата:
в /etc/sysctl.conf пишем
net.link.ether.bridge.enable=1
net.link.ether.bridge.config=loc1,net1
net.link.ether.bridge.config=loc2,net2
net.link.ether.bridge.ipfw=1
далее настраивать IPFW
Это вариант будет работать??
|
Пробуйте, как написанно в документации, вроде должен запахать...
Если траблы будут, пиши...
Цитата:
и будет ли он приемлем если необходим доступ к внутренним маил северам извне с точки зрения безопасности??
|
если есть хоть одна лазейка из вне в сеть, то (говорю Вам как работник Безопасности сети и IT) Лучше этого не делать... если же делаете, то настраивайте фаирвол и всячискую защиту:)))
Желаю Удачи:)
Pallot
Быстро редактируешь, даже не успеваю читать:))) |
| Barracuda |
03-11-2006 14:53 506430 |
Если адреса на интерфейсах разные и они не пересекаются по диапазоном, то bridge не нужен... к тому же - оч не рекомендуется присваивать разным интерфейсам адреса, которые лежат в одной подсети - конфузы будут...
|
| Pallot |
03-11-2006 15:07 506436 |
kaEwituS
Цитата:
Быстро редактируешь, даже не успеваю читать
|
мысль идет... не успеваю писать... :) :)
Мост мне тож как то не нравится... остается роутить это дело...
Но вот как грамотно ??
|
| Barracuda |
03-11-2006 15:14 506440 |
Pallot
Кстати, маленькое замечание: 172.10.0.0/16 использовать нельзя - это реальные адреса (если, конечно, они не ваши :))
И в догонку: должно быть включено по sysctl: net.inet.ip.forwarding: 1
Этого можно добиться путём прописчвания в /etc/rc.conf строчки:
Код:
gateway_enable="YES"
|
| Pallot |
03-11-2006 15:54 506453 |
Barracuda
прописано...
Цитата:
Кстати, маленькое замечание: 172.10.0.0/16 использовать нельзя
|
спасибо.
это в качестве примера.
|
| Igor_I |
03-11-2006 20:03 506564 |
|
| Borodunter |
04-11-2006 09:14 506772 |
Pallot
Цитата:
Возможно ли настроить маршрутизацию таким образом:
loc1 -> net1
loc2 -> net2
??
|
это возможно, все делается достаточно просто через "ipfw fwd", я настраивал именно так, деталей уже за давностью лет не помню, но с третьей попытки сделать по с этому мануалу все получилось.
|
| Pallot |
04-11-2006 12:09 506819 |
Borodunter
Цитата:
это возможно, все делается достаточно просто через "ipfw fwd", я настраивал именно так, деталей уже за давностью лет не помню, но с третьей попытки сделать по с этому мануалу все получилось.
|
чую что правельное направление, то что надо.... еще не пробЫвал но суть ясна, мой вариант.
P.S. респект выставил :)
|
Время: 14:43.
© OSzone.net 2001-
