[Tonny_Bennet]

Цитата mistic1282:

В общем дело такое. Хочется раздать свой, небольшой интернет в сеть провайдера, нескольким хостам. »

У вас есть ещё один канал в интернет и вы хотите позволить клиентам сети вашего провайдера пользоваться этим каналом?

[mistic1282]

Цитата Tonny_Bennet:

У вас есть ещё один канал в интернет и вы хотите позволить клиентам сети вашего провайдера пользоваться этим каналом? »

Интернет канала от провайдера по сути нет, доступ только к локальной сети. Имеются собственные два канала выхода в интернет, хочу сделать их доступными нескольким знакомым, которые также подключены к локальной сети провайдера.

[Tonny_Bennet]

Цитата mistic1282:

Интернет канала от провайдера по сути нет, доступ только к локальной сети. Имеются собственные два канала выхода в интернет, хочу сделать их доступными нескольким знакомым, которые также подключены к локальной сети провайдера. »

Хитро... но боюсь, что аппаратных средств, которые у вас есть, не хватит. У меня возможно слишком испорченное представление о сетевых системах, но я без проблем себе представляю как ваша схема может быть реализована на базе *nix-подобной системы с несколькими сетевыми картами. Если вам это интересно то могу чуть более подробно рассказать.

[mistic1282]

Цитата Tonny_Bennet:

Хитро... но боюсь, что аппаратных средств, которые у вас есть, не хватит. У меня возможно слишком испорченное представление о сетевых системах, но я без проблем себе представляю как ваша схема может быть реализована на базе *nix-подобной системы с несколькими сетевыми картами. Если вам это интересно то могу чуть более подробно рассказать. »

Была альтернативная идея попробовать реализовать это на freeBSD. Поэтому будет очень интересно вас выслушать

[Tonny_Bennet]

Цитата mistic1282:

ыла альтернативная идея попробовать реализовать это на freeBSD. Поэтому будет очень интересно вас выслушать »

Думаю, что мои идеи не сильно будут расходиться с идеями реализации на freeBSD. Говорят на фряхе можно сделать всё гораздо аутентичнее

Итак, предположим? что вы лично интернетом не пользуетесь и вам нужно нескольким клиентам из локальной сети 10.10.0.0/16 организовать доступ в интернет через одного провайдера.

Ставим маломощьный компьютер с двумя сетевыми картами:

eth0: 10.10.16.51/16 (изменяем на ней MAC адрес, что бы локалка заработала)
eth1: смотрит в сторону провайдера.

Дальше есть разные пути в организации доступа ваших друзей к вашему шлюзу:

- можно просто настроить NAT (eth0 -> eth1), разрешить форвардинг пакетов из одной сети в другую и сказать вашим друзьям прописывать у себя на сетевых картах шлюз 10.10.16.51. Для обеспечения безопасности нужно бы подстроить правила фаервола: к примеру разрешить подключение только с определённых IP или MAC адресов, что бы кто-нибудь ещё не воспользовался.

- можно на этом компьютере поднять прокси-сервер (очень популярен squid). Тогда ваши друзья просто будут проприсывать в браузере или в другом ПО адрес и порт вашего прокси 10.10.16.51:3128. У Squid также есть несколько вариантов авторизации: по IP, логину и т.д.

- можно на компьютере поднять VPN сервер для того, что бы начать всю работу с авторизации, но хотя бы без одного из предыдущих пунктов выпустить кого-либо в интернет через ваш шлюз не получится.

Далее можно развивать схему: подключить второго провайдера (+ сетевая карта) и заняться распределением нагрузки на канал с использованием route2 или того же squid. Наверняка вам и самому нужен будет доступ в интернет, придётся ещё одну карточку добавлять в шлюз и делать локальную сеть дома.

[slava007]

Tonny_Bennet, обычно на свичах доступа ставят изоляцию портов и весь трафик идет через шлюз провайдера

[Tonny_Bennet]

slava007, согласен. Но такая система обычно строится на Vlan-ах и клиентам раздаются сети /30 или /29. И тогда авторизация идёт не по MAC-адресу, а по номеру порта (а точнее Vlan). В примере mistic1282 настройки сети видно, что клиенты получают адреса из большой сети с маской /16 и опять же авторизация по MAC-адресу сетевой. Мне кажется, что там нет такого уровня безопасности.

[mistic1282]

Tonny_Bennet, спасибо за подробный мануал. Все поставил, поднял NAT между своими интерфейсами, работает так как и хотел.

Остался один вопрос, у меня, как я уже говорил выше, два интерфейса (скорости одного мало) которые смотрят в интернет. Как распределить клиентов между этими двумя интерфейсами?

[Tonny_Bennet]

mistic1282, в Ubuntu (но наверно не только в этой ОС) есть утилита маршрутизации route2. При помощи неё можно создавать чуть более сложные правила маршрутизации. Но это только при условии если вы используете NAT.

Вам потребуется создать две таблицы маршрутизации: ISP_1, ISP_2 к примеру. В каждую из таблиц добавить основной шлюз для провайдера и информацию о всех локальных сетях, к которым подключен компьютер, настроить правила маршрутизации таким образом, что бы пакеты от первого провайдера попадали в таблицу ISP_1, а от второго провайдера в ISP_2. Ну и конечно правила примитивной балансировки: пакеты от net_1 в первую таблицу, от net_2 во вторую.

В итоге должно получится, что компьюетры из подсети net_1 пойдут в таблицу ISP_1 и завурнутся на шлюз первого провайдера, а пакеты net_2 на шлюз второго.

Инструкций в сети много. Вот на примере Ubuntu. Я боролся настройками пару месяцев пока не заработала как хотел. Заработала. Оформил всё в виде скриптов и могу сменой пары значений в скриптах часть офиса или весь офис перевести на резервный канал.