[kaEwituS]

Pallot

Цитата:

Возможно ли настроить маршрутизацию таким образом: loc1 -> net1 loc2 -> net2

В полне возможна, другой вопрос вот как?
по этому есть документация, она Вам поможет, тут всё в конкретных примерах
Сетевые шлюзы
Мосты

[fossil]

Цитата:

Возможно ли настроить маршрутизацию таким образом:

Конечно возможно. Для этого надо добавить правила в цепочку FORWARD

[Pallot]

fossil

Цитата:

Конечно возможно. Для этого надо добавить правила в цепочку FORWARD

а где об этом можно почитать??

Я думал что надо поправить таблицу роутинга (перед этим очистив ее, дабы пакеты шли именно туда куда надо).

[kaEwituS]

Pallot
Зайдите на ссылки которые я Вам дал, там говорю всё есть...

[Pallot]

kaEwituS

Цитата:

В полне возможна, другой вопрос вот как? по этому есть документация, она Вам поможет, тут всё в конкретных примерах Сетевые шлюзы Мосты

читал, думал...
картина такая получается:
в /etc/sysctl.conf пишем

Код:

net.link.ether.bridge.enable=1
net.link.ether.bridge.config=loc1,net1
net.link.ether.bridge.config=loc2,net2
net.link.ether.bridge.ipfw=1

далее настраивать IPFW
Это вариант будет работать??
и будет ли он приемлем если необходим доступ к внутренним маил северам извне с точки зрения безопасности??

Или роутинг: в файл /etc/rc.conf:

Код:

static_routes="net1 net2"
route_net1="-net loc1 net1"
route_net2="-net loc2 net2"

но в таком случае надо маршруты по умолчанию как то прибить, что бы пакеты ходили только от loc1 к net1 и не падали на net2 (хотя вот подумалось: в случае отказа одного из модемов, перенаправить трафик loc1 к net2).

p.s. Эта машина будет стоять в качестве пограничного роутера перед DMZ сетью (первая линия обороны )

[kaEwituS]

Цитата:

в /etc/sysctl.conf пишем net.link.ether.bridge.enable=1 net.link.ether.bridge.config=loc1,net1 net.link.ether.bridge.config=loc2,net2 net.link.ether.bridge.ipfw=1 далее настраивать IPFW Это вариант будет работать??

Пробуйте, как написанно в документации, вроде должен запахать...
Если траблы будут, пиши...

Цитата:

и будет ли он приемлем если необходим доступ к внутренним маил северам извне с точки зрения безопасности??

если есть хоть одна лазейка из вне в сеть, то (говорю Вам как работник Безопасности сети и IT) Лучше этого не делать... если же делаете, то настраивайте фаирвол и всячискую защиту))
Желаю Удачи

Pallot
Быстро редактируешь, даже не успеваю читать))

[Barracuda]

Если адреса на интерфейсах разные и они не пересекаются по диапазоном, то bridge не нужен... к тому же - оч не рекомендуется присваивать разным интерфейсам адреса, которые лежат в одной подсети - конфузы будут...

[Pallot]

kaEwituS

Цитата:

Быстро редактируешь, даже не успеваю читать

мысль идет... не успеваю писать...

Мост мне тож как то не нравится... остается роутить это дело...
Но вот как грамотно ??

[Barracuda]

Pallot
Кстати, маленькое замечание: 172.10.0.0/16 использовать нельзя - это реальные адреса (если, конечно, они не ваши )
И в догонку: должно быть включено по sysctl: net.inet.ip.forwarding: 1
Этого можно добиться путём прописчвания в /etc/rc.conf строчки:

Код:

gateway_enable="YES"