From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Message-ID: <43BA7BEB.9050108@bumer.com.ua> Date: Tue, 03 Jan 2006 15:28:11 +0200 From: Andrey Kuleshov User-Agent: Mozilla Thunderbird 1.0.6 (X11/20050815) X-Accept-Language: ru-ru, ru MIME-Version: 1.0 To: ALT Linux sysadmin discuss , samurai@ricom.ru Subject: Re: [Sysadmins] bridge + routing (nat) References: <20051216164755.GA25598@ricom.ru> In-Reply-To: <20051216164755.GA25598@ricom.ru> X-Enigmail-Version: 0.91.0.0 Content-Type: text/plain; charset=KOI8-U Content-Transfer-Encoding: 8bit Cc: X-BeenThere: sysadmins@lists.altlinux.org X-Mailman-Version: 2.1.5 Precedence: list Reply-To: ALT Linux sysadmin discuss List-Id: ALT Linux sysadmin discuss List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Tue, 03 Jan 2006 13:28:30 -0000 Archived-At: List-Archive: Здравствуйте! Нужное вам легко реализуется использованием DMZ Поставьте в роутер третий интерфейс (схема с одним файрволом), к нему подключите hab/switch и дальше компы, что должны быть видны из инета. Дальше все настраивается средствами iptables. Видимый недостаток: интерфейсу DMZ должен быть присвоен реальный IP. PS. Известны схемы построения DMZ с использованием одного и двух файрволов. PPS. Взамен NAT я бы использовал прокси Alexey Morsov пишет: >Привет, > >Имею: >локалку выпускаемую в инет через роутер на linux > >lan <-> hab/switch <-> router <-> optical modem <-> inet > >Т.е. сейчас все сделано на роутинг с nat. Роутер с двумя ифейсами, одним в >локалке другим в выделенной провом сетке (будем называеться ее реальной). > >Вроде, после долгих отловов глюков сегодня после вчерашнего перезда на >новый канал все теперь работает (а всего-то где-то в прововских днс-ах >почему-то старый ip осел, ну да бог с ним) как и работало на старом >канале. > >Однако этот пров выдал /28 подсеть - т.е. есть отличная возможность >перенести в их адресное пространство пару наших компов (в частности mail и >spot) для разгрузки того бедного isdn в 128кбит на котором они живут до >сих пор. >Но выставлять их в сеть напрямую как-то не правильно. Надо за файервол >посадить. > >Как я понял тут нужна схема > >lan (192.) <-->+---+ +-------------+ <--> modem <-> inet > |hub|<-> router | >mail (85.) <-->| | | (bridge+nat)| >spot (85.) <-->+---+ +-------------+ > +---+NAT+------+ lan (192.) <-->|hub|<->|router|<--> modem <-> inet +---+ +------+ ^ | v +---+ |hub| +---+ ^ | v DMZ +-----+ |(85.)| |mail | |spot | |etc | +-----+ > >Опять же как я понял, bridge это когда создается некий виртуальный >интерфейс связывающий оба интерфейса роутера но с единым ip (или даже >вообще без него?) - т.е. типа как провода спаяли вместе. >Плюс, как я понял, изначально iptables и bridge друг друга не очень видят. >Пробовал создавать bridge - создается, в ip route list присутствует. Но >папеты перестают ходить напрочь, даже с локального хоста. > >Вообщем - вопрос: что есть конкретно про такое объединение почитать? ссылки. >Гуглил полдня. Накопал много. Но как-то все по отдельности. ALN Howto читаю - но там >как-то вскольз (или я просто не понял). Видел ebtables - вроде бы то что >надо, но есть ли оно у нас в Master24? >Вообщем ткните в более бодробную документацию именно по объединению bridge >с nat. > -- AK1041-UANIC