From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <sibvaleo@aaanet.ru>
Message-ID: <414992E8.8050400@aaanet.ru>
Date: Thu, 16 Sep 2004 17:19:36 +0400
From: =?KOI8-R?Q?=F2=E3=EF=EB-=F2=CF=D3=D4=CF=D7?= <sibvaleo@aaanet.ru>
User-Agent: Mozilla/5.0 (X11; U; Linux i686; ru-RU; rv:1.4.1) Gecko/20031209
X-Accept-Language: ru-ru, ru
MIME-Version: 1.0
To: community@altlinux.ru
Subject: Re: [Comm] Bridging firewall
References: <41480C70.2030203@list.ru>	<42143.194.67.216.209.1095240965.squirrel@www.samdu.uz>
	<414877C2.1080506@stc.donpac.ru>
In-Reply-To: <414877C2.1080506@stc.donpac.ru>
Content-Type: text/plain; charset=KOI8-R; format=flowed
Content-Transfer-Encoding: 8bit
X-BeenThere: community@altlinux.ru
X-Mailman-Version: 2.1.5
Precedence: list
Reply-To: community@altlinux.ru
List-Id: Mailing list for ALT Linux users <community.altlinux.ru>
List-Unsubscribe: <https://lists.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=unsubscribe>
List-Archive: <http://lists.altlinux.ru/pipermail/community>
List-Post: <mailto:community@altlinux.ru>
List-Help: <mailto:community-request@altlinux.ru?subject=help>
List-Subscribe: <https://lists.altlinux.ru/mailman/listinfo/community>,
	<mailto:community-request@altlinux.ru?subject=subscribe>
X-List-Received-Date: Thu, 16 Sep 2004 13:19:40 -0000
Archived-At: <http://lore.altlinux.org/community/414992E8.8050400@aaanet.ru/>
List-Archive: <http://lore.altlinux.org/community/>
List-Post: <mailto:mandrake-russian@linuxteam.iplabs.ru>

Здравствуйте!

Eugene Prokopiev пишет:

> для того, чтоб устраивать firewall (а также что-то считать) на бридже, 
> нужен ebtables (ebtables.sf.net). Я его даже собирал для ядра ALM 2.2 
> около года назад - поищите мои письма на эту тему в архиве рассылки

Подскажите, пожалуйста, каковы преимущества работы шлюза в качестве 
бриджа? Верно ли я понимаю, что бридж интересен тем, что при наличии 
реальных ip-адресов он может работать "прозрачно" для сети, т.е. - даже 
не иметь ip-адреса на интерфейсе в сети откуда надо передавать пакеты? 
(Интерфейс переводится в promisc mode и пакеты предназначенные для 
другой сети сразу попадают на другой интерфейс). Но какой в этом смысл, 
если сейчас практически все испльзуют свитчи? И чем этот вариант лучше 
следующего:
  echo "1" > /proc/sys/net/ipv4/ip_forward
  iptables -t nat -A POSTROUTING -s xxx.xxx.x.x/xx -o ppp0 -j MASQUERADE

В простейшем виде - и уже работает. (Осталась настроить iptables).

Меня интересует при помощи чего лучше настроить шлюз для маленького 
офиса с маскарадингом и файрволом?

Варианты:
1. Бридж (с патчем ядра);
2. Сквид;
3. Маскарадинг (вариант описанный мной выше).
4. Что-то ещё?

Google не помог найти статейки сравнивающей разные способы создания 
роутера/шлюза/файрвола в одном лице. Я находил лишь статьи по настройке 
какого-то одного из вышеперечисленных методов.

Буду очень благодарен. (Даже, и особенно, за полезные ссылки по теме).

-- 
С уважением,  Виктор                        sibvaleo {at} aaanet.ru