* [Sysadmins] bridge + routing (nat)
@ 2005-12-16 16:47 Alexey Morsov
2005-12-16 16:59 ` slaytor
2006-01-03 13:28 ` Andrey Kuleshov
0 siblings, 2 replies; 28+ messages in thread
From: Alexey Morsov @ 2005-12-16 16:47 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
[-- Attachment #1: Type: text/plain, Size: 2163 bytes --]
Привет,
Имею:
локалку выпускаемую в инет через роутер на linux
lan <-> hab/switch <-> router <-> optical modem <-> inet
Т.е. сейчас все сделано на роутинг с nat. Роутер с двумя ифейсами, одним в
локалке другим в выделенной провом сетке (будем называеться ее реальной).
Вроде, после долгих отловов глюков сегодня после вчерашнего перезда на
новый канал все теперь работает (а всего-то где-то в прововских днс-ах
почему-то старый ip осел, ну да бог с ним) как и работало на старом
канале.
Однако этот пров выдал /28 подсеть - т.е. есть отличная возможность
перенести в их адресное пространство пару наших компов (в частности mail и
spot) для разгрузки того бедного isdn в 128кбит на котором они живут до
сих пор.
Но выставлять их в сеть напрямую как-то не правильно. Надо за файервол
посадить.
Как я понял тут нужна схема
lan (192.) <-->+---+ +-------------+ <--> modem <-> inet
|hub|<-> router |
mail (85.) <-->| | | (bridge+nat)|
spot (85.) <-->+---+ +-------------+
Опять же как я понял, bridge это когда создается некий виртуальный
интерфейс связывающий оба интерфейса роутера но с единым ip (или даже
вообще без него?) - т.е. типа как провода спаяли вместе.
Плюс, как я понял, изначально iptables и bridge друг друга не очень видят.
Пробовал создавать bridge - создается, в ip route list присутствует. Но
папеты перестают ходить напрочь, даже с локального хоста.
Вообщем - вопрос: что есть конкретно про такое объединение почитать? ссылки.
Гуглил полдня. Накопал много. Но как-то все по отдельности. ALN Howto читаю - но там
как-то вскольз (или я просто не понял). Видел ebtables - вроде бы то что
надо, но есть ли оно у нас в Master24?
Вообщем ткните в более бодробную документацию именно по объединению bridge
с nat.
--
С уважением,
Алексей Морсов
системный администратор ЗАО "ИК "Риком-Траст"
ICQ: 196-766-290
Jabber: samurai@www.fondmarket.ru
www.ricom.ru
www.fondmarket.ru
<AMorozov> Ktirf: Алексей, тут проблема в том, что Вы, похоже, единственный, у кого это работает. Включая авторов zsh
<Ktirf> Ну ни хрена себе...
<Ktirf> 8-O Вот же я попал, а ...
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 481 bytes --]
^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Sysadmins] bridge + routing (nat)
2005-12-16 16:47 [Sysadmins] bridge + routing (nat) Alexey Morsov
@ 2005-12-16 16:59 ` slaytor
2005-12-16 17:07 ` Alexey Morsov
2006-01-03 13:28 ` Andrey Kuleshov
1 sibling, 1 reply; 28+ messages in thread
From: slaytor @ 2005-12-16 16:59 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
> Как я понял тут нужна схема
>
> lan (192.) <-->+---+ +-------------+ <--> modem <-> inet
> |hub|<-> router |
> mail (85.) <-->| | | (bridge+nat)|
> spot (85.) <-->+---+ +-------------+
>
немонго нифтему.. %)
может поднять на внешнем интерфейсе роутера два алиаса 85.. 85...
а иптейблсом фключить перенаправление на хосты mail и spot?
^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Sysadmins] bridge + routing (nat)
2005-12-16 16:59 ` slaytor
@ 2005-12-16 17:07 ` Alexey Morsov
2005-12-19 9:51 ` Шенцев Алексей Владимирович
0 siblings, 1 reply; 28+ messages in thread
From: Alexey Morsov @ 2005-12-16 17:07 UTC (permalink / raw)
To: sysadmins
[-- Attachment #1: Type: text/plain, Size: 1123 bytes --]
On Fri, Dec 16, 2005 at 07:59:29PM +0300, slaytor wrote:
> > Как я понял тут нужна схема
> >
> > lan (192.) <-->+---+ +-------------+ <--> modem <-> inet
> > |hub|<-> router |
> > mail (85.) <-->| | | (bridge+nat)|
> > spot (85.) <-->+---+ +-------------+
> >
> немонго нифтему.. %)
> может поднять на внешнем интерфейсе роутера два алиаса 85.. 85...
> а иптейблсом фключить перенаправление на хосты mail и spot?
Зафорвардить на них я и в фейковую сетку могу хоть сейчас :)
Меня интересует именно как сделать в ситуации когда public и private ip
ходят в инет через роутер/firewall (как это сделано на нашей циске на
другом канале)
--
С уважением,
Алексей Морсов
системный администратор ЗАО "ИК "Риком-Траст"
ICQ: 196-766-290
Jabber: samurai@www.fondmarket.ru
www.ricom.ru
www.fondmarket.ru
* gvy подставил ab на написание NIS/ALT HOWTO... неудобна-та-как...
<ab> gvy: ничего писать не буду. Вот так. Потому что делал не я -)
<gvy> ab, ну это уже с ldv выясняйте :) и вааще -- мое дело сказать,
что все плохо, и пусть меня убедят в обратном :)
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 481 bytes --]
^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Sysadmins] bridge + routing (nat)
2005-12-16 17:07 ` Alexey Morsov
@ 2005-12-19 9:51 ` Шенцев Алексей Владимирович
2005-12-19 14:23 ` Alexey Morsov
0 siblings, 1 reply; 28+ messages in thread
From: Шенцев Алексей Владимирович @ 2005-12-19 9:51 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
В сообщении от Пятница 16 Декабрь 2005 20:07 Alexey Morsov написал(a):
> On Fri, Dec 16, 2005 at 07:59:29PM +0300, slaytor wrote:
> > > Как я понял тут нужна схема
> > >
> > > lan (192.) <-->+---+ +-------------+ <--> modem <-> inet
> > >
> > > |hub|<-> router |
> > >
> > > mail (85.) <-->| | | (bridge+nat)|
> > > spot (85.) <-->+---+ +-------------+
> >
> > немонго нифтему.. %)
> > может поднять на внешнем интерфейсе роутера два алиаса 85.. 85...
> > а иптейблсом фключить перенаправление на хосты mail и spot?
>
> Зафорвардить на них я и в фейковую сетку могу хоть сейчас :)
> Меня интересует именно как сделать в ситуации когда public и private ip
> ходят в инет через роутер/firewall (как это сделано на нашей циске на
> другом канале)
Алексей, может тебе поможет http://www.iptables.ru и по ссылке на iptables
1.1.4 (я понимаю что устарело, но всё таки) ... :)
--
С уважением, Шенцев Алексей (AShen)
^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Sysadmins] bridge + routing (nat)
2005-12-19 9:51 ` Шенцев Алексей Владимирович
@ 2005-12-19 14:23 ` Alexey Morsov
2005-12-19 14:32 ` Шенцев Алексей Владимирович
0 siblings, 1 reply; 28+ messages in thread
From: Alexey Morsov @ 2005-12-19 14:23 UTC (permalink / raw)
To: sysadmins
[-- Attachment #1: Type: text/plain, Size: 973 bytes --]
On Mon, Dec 19, 2005 at 12:51:36PM +0300, Шенцев Алексей Владимирович wrote:
> Алексей, может тебе поможет http://www.iptables.ru и по ссылке на iptables
> 1.1.4 (я понимаю что устарело, но всё таки) ... :)
Это у меня всегда под рукой, вон в ~/Documents/Admin валяется.
Только насколько я понял iptables к bridge не имеет отношения. Т.е. я
понял как сделать бридж и у меня сделан nat. А вот как их объединить? Ведь
у бриджа только один ip на две карты, и он вроде бы перекрывает
iptablesовские фильтры.
--
С уважением,
Алексей Морсов
системный администратор ЗАО "ИК "Риком-Траст"
ICQ: 196-766-290
Jabber: samurai@www.fondmarket.ru
www.ricom.ru
www.fondmarket.ru
NP: Music is over :(
* Pilot решил посмотреть на Skype for Linux: help -> about -> Segmentation fault
<drF_ckoff> =)
<Pilot> file -> options -> Segmentation fault
<UlfR> хех
<drF_ckoff> Pilot: это у тебя люлекс не той системы =)
<UlfR> Pilot: у тебя наверное не слакварь ;)
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 481 bytes --]
^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Sysadmins] bridge + routing (nat)
2005-12-19 14:23 ` Alexey Morsov
@ 2005-12-19 14:32 ` Шенцев Алексей Владимирович
2005-12-19 22:49 ` Alexey Morsov
0 siblings, 1 reply; 28+ messages in thread
From: Шенцев Алексей Владимирович @ 2005-12-19 14:32 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
В сообщении от Понедельник 19 Декабрь 2005 17:23 Alexey Morsov написал(a):
> Это у меня всегда под рукой, вон в ~/Documents/Admin валяется.
> Только насколько я понял iptables к bridge не имеет отношения. Т.е. я
> понял как сделать бридж и у меня сделан nat. А вот как их объединить? Ведь
> у бриджа только один ip на две карты, и он вроде бы перекрывает
> iptablesовские фильтры.
Как я понял мосту необязательно иметь ip-адрес. При прохождение пакетов через
него, моста не должно быть видно, например в traceroute. Если не ошибусь ты
хочешь создать схему: ЛВС -> Вход моста -> Вход firewall -> Ядро -> Выход
firewall -> Выход моста -> internet ? Хотя, если есть роутер в инет, тогда
зачем ставить ещё и мост?
--
С уважением, Шенцев Алексей (AShen)
^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Sysadmins] bridge + routing (nat)
2005-12-19 14:32 ` Шенцев Алексей Владимирович
@ 2005-12-19 22:49 ` Alexey Morsov
2005-12-20 6:01 ` Egorov Alexey
0 siblings, 1 reply; 28+ messages in thread
From: Alexey Morsov @ 2005-12-19 22:49 UTC (permalink / raw)
To: sysadmins
On Mon, Dec 19, 2005 at 05:32:42PM +0300, Шенцев Алексей Владимирович wrote:
> firewall -> Выход моста -> internet ? Хотя, если есть роутер в инет, тогда
> зачем ставить ещё и мост?
Затем что я хочу за него (за файервол) запихать не только нашу приватную
сетку (как сейчас и есть) но и еще компы из нашей публичной сетки. А им в
этом случае как раз таки бридж и нужен (так как в модем прова включен
только роутер своим интетным интерфейсом)
--
С уважением,
Алексей Морсов
Системный администратор ЗАО "ИК "РИКОМ-ТРАСТ"
ICQ#: 196-766-290
JID: Samurai@www.fondmarket.ru
NP: music over
Товарищи! Разгребайте imcoming в пятницу перед запуском робота на
выходных! Вдарим автопробегом и проч.
-- at in devel@
^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Sysadmins] bridge + routing (nat)
2005-12-19 22:49 ` Alexey Morsov
@ 2005-12-20 6:01 ` Egorov Alexey
2005-12-20 6:26 ` Шенцев Алексей Владимирович
2005-12-20 8:42 ` Michael Shigorin
0 siblings, 2 replies; 28+ messages in thread
From: Egorov Alexey @ 2005-12-20 6:01 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Alexey Morsov пишет:
> On Mon, Dec 19, 2005 at 05:32:42PM +0300, Шенцев Алексей Владимирович wrote:
>
>> firewall -> Выход моста -> internet ? Хотя, если есть роутер в инет, тогда
>> зачем ставить ещё и мост?
>>
> Затем что я хочу за него (за файервол) запихать не только нашу приватную
> сетку (как сейчас и есть) но и еще компы из нашей публичной сетки. А им в
> этом случае как раз таки бридж и нужен (так как в модем прова включен
> только роутер своим интетным интерфейсом)
>
>
>
А если поступить проще ?
Кмодему подключить простейший хаб (свитч) и через него подключить компы
изпубличной сетки ?
Естественно на всех компах придется поднять файервол.
^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Sysadmins] bridge + routing (nat)
2005-12-20 6:01 ` Egorov Alexey
@ 2005-12-20 6:26 ` Шенцев Алексей Владимирович
2005-12-20 10:53 ` Anatoliy Lisjutin
2005-12-20 8:42 ` Michael Shigorin
1 sibling, 1 reply; 28+ messages in thread
From: Шенцев Алексей Владимирович @ 2005-12-20 6:26 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
В сообщении от Вторник 20 Декабрь 2005 09:01 Egorov Alexey написал(a):
> А если поступить проще ?
> Кмодему подключить простейший хаб (свитч) и через него подключить компы
> изпубличной сетки ?
> Естественно на всех компах придется поднять файервол.
А зачем на всех? Может сделать такую схему:
LAN<->Gateway+Firewall<->Internet ? Web-, mail-сервера в LAN, а не в
публичной сети.
--
С уважением, Шенцев Алексей (AShen)
^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Sysadmins] bridge + routing (nat)
2005-12-20 6:26 ` Шенцев Алексей Владимирович
@ 2005-12-20 10:53 ` Anatoliy Lisjutin
2005-12-20 11:03 ` Шенцев Алексей Владимирович
0 siblings, 1 reply; 28+ messages in thread
From: Anatoliy Lisjutin @ 2005-12-20 10:53 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Здравствуйте!
В сообщении от Вторник 20 Декабрь 2005 09:26 Шенцев Алексей Владимирович
написал(a):
> В сообщении от Вторник 20 Декабрь 2005 09:01 Egorov Alexey написал(a):
> > А если поступить проще ?
> > Кмодему подключить простейший хаб (свитч) и через него подключить
> > компы изпубличной сетки ?
> > Естественно на всех компах придется поднять файервол.
>
> А зачем на всех? Может сделать такую схему:
> LAN<->Gateway+Firewall<->Internet ? Web-, mail-сервера в LAN, а не в
> публичной сети.
Так и надо. И роутить серверы как и LAN, только в обратную сторону. Все
сервисы будут на роутере для внешних.
Хотя так сразу не сделал, и на каждом Firewall поднимал. Так исторически
вышло.
--
With my best regards to you !!
http://rusarchives.ru http://rgantd.ru http://victory.rusarchives.ru
SilverFox@rgantd.ru
^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Sysadmins] bridge + routing (nat)
2005-12-20 10:53 ` Anatoliy Lisjutin
@ 2005-12-20 11:03 ` Шенцев Алексей Владимирович
0 siblings, 0 replies; 28+ messages in thread
From: Шенцев Алексей Владимирович @ 2005-12-20 11:03 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
В сообщении от Вторник 20 Декабрь 2005 13:53 Anatoliy Lisjutin написал(a):
> Так и надо. И роутить серверы как и LAN, только в обратную сторону. Все
> сервисы будут на роутере для внешних.
> Хотя так сразу не сделал, и на каждом Firewall поднимал. Так исторически
> вышло.
По моему это должно быть так:
iptables -t nat -A PREROUTING --dst $INET_IP -p tcp --dport 80 -j DNAT \
--to-destination $HTTP_IP
iptables -t nat -A POSTROUTING -p tcp --dst $HTTP_IP --dport 80 -j SNAT \
--to-source $LAN_IP
iptables -t nat -A OUTPUT --dst $INET_IP -p tcp --dport 80 -j DNAT \
--to-destination $HTTP_IP
Где: $INET_IP - ip-адрес в интернете файервола;
$HTTP_IP - ip-адрес веб сервера за файерволом, необязательно из класса C;
$LAN_IP - ip-адрес файервола из той же подсети, что и $HTTP_IP.
Если я ошибся, то поправьте, знатоки iptables ... ;)
--
С уважением, Шенцев Алексей (AShen)
^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Sysadmins] bridge + routing (nat)
2005-12-20 6:01 ` Egorov Alexey
2005-12-20 6:26 ` Шенцев Алексей Владимирович
@ 2005-12-20 8:42 ` Michael Shigorin
2005-12-20 11:05 ` Egorov Alexey
2005-12-20 12:20 ` Alexey Morsov
1 sibling, 2 replies; 28+ messages in thread
From: Michael Shigorin @ 2005-12-20 8:42 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
On Tue, Dec 20, 2005 at 09:01:59AM +0300, Egorov Alexey wrote:
> >>firewall -> Выход моста -> internet ? Хотя, если есть роутер
> >>в инет, тогда зачем ставить ещё и мост?
> >Затем что я хочу за него (за файервол) запихать не только нашу
> >приватную сетку (как сейчас и есть) но и еще компы из нашей
> >публичной сетки. А им в этом случае как раз таки бридж и нужен
> >(так как в модем прова включен только роутер своим интетным
> >интерфейсом)
> А если поступить проще ?
Или ещё проще -- DNAT+SNAT. (или торможу?)
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Sysadmins] bridge + routing (nat)
2005-12-20 8:42 ` Michael Shigorin
@ 2005-12-20 11:05 ` Egorov Alexey
2005-12-20 12:20 ` Alexey Morsov
1 sibling, 0 replies; 28+ messages in thread
From: Egorov Alexey @ 2005-12-20 11:05 UTC (permalink / raw)
To: shigorin, ALT Linux sysadmin discuss
Michael Shigorin пишет:
> On Tue, Dec 20, 2005 at 09:01:59AM +0300, Egorov Alexey wrote:
>
>>>> firewall -> Выход моста -> internet ? Хотя, если есть роутер
>>>> в инет, тогда зачем ставить ещё и мост?
>>>>
>>> Затем что я хочу за него (за файервол) запихать не только нашу
>>> приватную сетку (как сейчас и есть) но и еще компы из нашей
>>> публичной сетки. А им в этом случае как раз таки бридж и нужен
>>> (так как в модем прова включен только роутер своим интетным
>>> интерфейсом)
>>>
>> А если поступить проще ?
>>
>
> Или ещё проще -- DNAT+SNAT. (или торможу?)
>
>
Да нет. Просто человек хотел чтобы компы в инете были.
А так согласен - самое простое DNAT+SNAT
^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Sysadmins] bridge + routing (nat)
2005-12-20 8:42 ` Michael Shigorin
2005-12-20 11:05 ` Egorov Alexey
@ 2005-12-20 12:20 ` Alexey Morsov
2005-12-21 3:08 ` Re[2]: " Беляев В.Н.
1 sibling, 1 reply; 28+ messages in thread
From: Alexey Morsov @ 2005-12-20 12:20 UTC (permalink / raw)
To: sysadmins
[-- Attachment #1: Type: text/plain, Size: 1311 bytes --]
On Tue, Dec 20, 2005 at 10:42:44AM +0200, Michael Shigorin wrote:
> On Tue, Dec 20, 2005 at 09:01:59AM +0300, Egorov Alexey wrote:
> > >>firewall -> Выход моста -> internet ? Хотя, если есть роутер
> > >>в инет, тогда зачем ставить ещё и мост?
> > >Затем что я хочу за него (за файервол) запихать не только нашу
> > >приватную сетку (как сейчас и есть) но и еще компы из нашей
> > >публичной сетки. А им в этом случае как раз таки бридж и нужен
> > >(так как в модем прова включен только роутер своим интетным
> > >интерфейсом)
> > А если поступить проще ?
>
> Или ещё проще -- DNAT+SNAT. (или торможу?)
Ну так сервера будут в локалке.. т.е. все извне обращаются к ip роутера а
подопадают на нудные компы. Это все понятно (даже есть).
Мне именно хочется поставить компы с публичными ip тут , но посадить их за
файервол роутера, чтобы не подниматьна каждом (1) и чтобы физически в
модем прова был включен только роутер.
--
С уважением,
Алексей Морсов
системный администратор ЗАО "ИК "Риком-Траст"
ICQ: 196-766-290
Jabber: samurai@www.fondmarket.ru
www.ricom.ru
www.fondmarket.ru
NP: Music is over :(
<Vitls> кстти, это не так уж и трудно. Если с поставщиками железа идут
оем-диски с Линукс. то почему бы на коробку не шлепать стикер
Работае под Динуксе
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 481 bytes --]
^ permalink raw reply [flat|nested] 28+ messages in thread
* Re[2]: [Sysadmins] bridge + routing (nat)
2005-12-20 12:20 ` Alexey Morsov
@ 2005-12-21 3:08 ` Беляев В.Н.
2005-12-21 6:06 ` Egorov Alexey
0 siblings, 1 reply; 28+ messages in thread
From: Беляев В.Н. @ 2005-12-21 3:08 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Hello Alexey,
Tuesday, December 20, 2005, 5:20:43 PM, you wrote:
AM> On Tue, Dec 20, 2005 at 10:42:44AM +0200, Michael Shigorin wrote:
>> On Tue, Dec 20, 2005 at 09:01:59AM +0300, Egorov Alexey wrote:
>> > >>firewall -> Выход моста -> internet ? Хотя, если есть роутер
>> > >>в инет, тогда зачем ставить ещё и мост?
>> > >Затем что я хочу за него (за файервол) запихать не только нашу
>> > >приватную сетку (как сейчас и есть) но и еще компы из нашей
>> > >публичной сетки. А им в этом случае как раз таки бридж и нужен
>> > >(так как в модем прова включен только роутер своим интетным
>> > >интерфейсом)
>> > А если поступить проще ?
>>
>> Или ещё проще -- DNAT+SNAT. (или торможу?)
AM> Ну так сервера будут в локалке.. т.е. все извне обращаются к ip роутера а
AM> подопадают на нудные компы. Это все понятно (даже есть).
AM> Мне именно хочется поставить компы с публичными ip тут , но посадить их за
AM> файервол роутера, чтобы не подниматьна каждом (1) и чтобы физически в
AM> модем прова был включен только роутер.
А если в самом модеме настроить марринг + настройка файервола?
--
Best regards,
Беляев mailto:w_n_b@mail.ru
^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Sysadmins] bridge + routing (nat)
2005-12-21 3:08 ` Re[2]: " Беляев В.Н.
@ 2005-12-21 6:06 ` Egorov Alexey
2005-12-21 7:37 ` Re[2]: " Беляев В.Н.
0 siblings, 1 reply; 28+ messages in thread
From: Egorov Alexey @ 2005-12-21 6:06 UTC (permalink / raw)
To: "Беляев
В.Н.",
ALT Linux sysadmin discuss
Беляев В.Н. пишет:
> Hello Alexey,
>
> Tuesday, December 20, 2005, 5:20:43 PM, you wrote:
>
> AM> On Tue, Dec 20, 2005 at 10:42:44AM +0200, Michael Shigorin wrote:
>
>>> On Tue, Dec 20, 2005 at 09:01:59AM +0300, Egorov Alexey wrote:
>>>
>>>>>> firewall -> Выход моста -> internet ? Хотя, если есть роутер
>>>>>> в инет, тогда зачем ставить ещё и мост?
>>>>>>
>>>>> Затем что я хочу за него (за файервол) запихать не только нашу
>>>>> приватную сетку (как сейчас и есть) но и еще компы из нашей
>>>>> публичной сетки. А им в этом случае как раз таки бридж и нужен
>>>>> (так как в модем прова включен только роутер своим интетным
>>>>> интерфейсом)
>>>>>
>>>> А если поступить проще ?
>>>>
>>> Или ещё проще -- DNAT+SNAT. (или торможу?)
>>>
> AM> Ну так сервера будут в локалке.. т.е. все извне обращаются к ip роутера а
> AM> подопадают на нудные компы. Это все понятно (даже есть).
> AM> Мне именно хочется поставить компы с публичными ip тут , но посадить их за
> AM> файервол роутера, чтобы не подниматьна каждом (1) и чтобы физически в
> AM> модем прова был включен только роутер.
>
> А если в самом модеме настроить марринг + настройка файервола?
>
>
>
А я бы особо не доверял встроенному в модему фаеру - у меня гораздо
больше доверия вызывает iptables.
^ permalink raw reply [flat|nested] 28+ messages in thread
* Re[2]: [Sysadmins] bridge + routing (nat)
2005-12-21 6:06 ` Egorov Alexey
@ 2005-12-21 7:37 ` Беляев В.Н.
2005-12-21 13:31 ` Alexey Morsov
0 siblings, 1 reply; 28+ messages in thread
From: Беляев В.Н. @ 2005-12-21 7:37 UTC (permalink / raw)
To: sysadmins
Hello Egorov,
Wednesday, December 21, 2005, 11:06:14 AM, you wrote:
EA> Беляев В.Н. пишет:
>> Hello Alexey,
>>
>> Tuesday, December 20, 2005, 5:20:43 PM, you wrote:
>>
>> AM> On Tue, Dec 20, 2005 at 10:42:44AM +0200, Michael Shigorin wrote:
>>
>>>> On Tue, Dec 20, 2005 at 09:01:59AM +0300, Egorov Alexey wrote:
>>>>
>>>>>>> firewall -> Выход моста -> internet ? Хотя, если есть роутер
>>>>>>> в инет, тогда зачем ставить ещё и мост?
>>>>>>>
>>>>>> Затем что я хочу за него (за файервол) запихать не только нашу
>>>>>> приватную сетку (как сейчас и есть) но и еще компы из нашей
>>>>>> публичной сетки. А им в этом случае как раз таки бридж и нужен
>>>>>> (так как в модем прова включен только роутер своим интетным
>>>>>> интерфейсом)
>>>>>>
>>>>> А если поступить проще ?
>>>>>
>>>> Или ещё проще -- DNAT+SNAT. (или торможу?)
>>>>
>> AM> Ну так сервера будут в локалке.. т.е. все извне обращаются к ip роутера а
>> AM> подопадают на нудные компы. Это все понятно (даже есть).
>> AM> Мне именно хочется поставить компы с публичными ip тут , но посадить их за
>> AM> файервол роутера, чтобы не подниматьна каждом (1) и чтобы физически в
>> AM> модем прова был включен только роутер.
>>
>> А если в самом модеме настроить марринг + настройка файервола?
>>
>>
>>
EA> А я бы особо не доверял встроенному в модему фаеру - у меня гораздо
EA> больше доверия вызывает iptables.
Нет, на модеме только маппинг, а фаер на роутере.
--
Best regards,
Беляев mailto:w_n_b@mail.ru
^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Sysadmins] bridge + routing (nat)
2005-12-21 7:37 ` Re[2]: " Беляев В.Н.
@ 2005-12-21 13:31 ` Alexey Morsov
2005-12-21 17:43 ` Maxim Bodyansky
0 siblings, 1 reply; 28+ messages in thread
From: Alexey Morsov @ 2005-12-21 13:31 UTC (permalink / raw)
To: sysadmins
[-- Attachment #1: Type: text/plain, Size: 637 bytes --]
On Wed, Dec 21, 2005 at 12:37:08PM +0500, Беляев В.Н. wrote:
> Нет, на модеме только маппинг, а фаер на роутере.
Господа, я не про мапинг портов спрашивал :(
К тому же этот модем это преобразователь ETHERNET в ОПТИКУ - нет у него
никаких мозгов.
--
С уважением,
Алексей Морсов
системный администратор ЗАО "ИК "Риком-Траст"
ICQ: 196-766-290
Jabber: samurai@www.fondmarket.ru
www.ricom.ru
www.fondmarket.ru
NP: Music is over :(
* iamfalcon rotfl с линухцентра: Novell присоединяется к OSDL
<iamfalcon> [12:33]
<iamfalcon> Кристалльной души компания... Могла бы ведь и купить!
<iamfalcon> коммент на 5+!
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 481 bytes --]
^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Sysadmins] bridge + routing (nat)
2005-12-21 13:31 ` Alexey Morsov
@ 2005-12-21 17:43 ` Maxim Bodyansky
2005-12-22 10:26 ` Alexey Morsov
0 siblings, 1 reply; 28+ messages in thread
From: Maxim Bodyansky @ 2005-12-21 17:43 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
On Wed, Dec 21, 2005 at 04:31:50PM +0300 Alexey Morsov wrote:
> On Wed, Dec 21, 2005 at 12:37:08PM +0500, Беляев В.Н. wrote:
>
> > Нет, на модеме только маппинг, а фаер на роутере.
> Господа, я не про мапинг портов спрашивал :(
> К тому же этот модем это преобразователь ETHERNET в ОПТИКУ - нет у него
> никаких мозгов.
Это конвертор, если быть точным.
Скажи, простой переброс портов (SNAT, DNAT) чем плох? Кроме стремления к
горизонтоподобному идиалу.
--
WBR,
Maxim Bodyansky
^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Sysadmins] bridge + routing (nat)
2005-12-21 17:43 ` Maxim Bodyansky
@ 2005-12-22 10:26 ` Alexey Morsov
2005-12-22 13:52 ` Aleksey Avdeev
0 siblings, 1 reply; 28+ messages in thread
From: Alexey Morsov @ 2005-12-22 10:26 UTC (permalink / raw)
To: sysadmins
[-- Attachment #1: Type: text/plain, Size: 1091 bytes --]
On Wed, Dec 21, 2005 at 08:43:30PM +0300, Maxim Bodyansky wrote:
>
> Это конвертор, если быть точным.
Угу.
>
> Скажи, простой переброс портов (SNAT, DNAT) чем плох? Кроме стремления к
> горизонтоподобному идиалу.
Кроме идеализма плох тем что все конекты идут к одному публичному ip из-за
чего:
1) слишком много портов придется пробрасывать (скажем на тот же mail нужно
21,22,25,110,143,80,443) на каждый хост
2) пересечение портов (прийдется разносить на нестандартные)
3) есть виндовая машина которая может захотеть некий порт пересекающийся с
кем-то и изменитьего нельзя (закрытый софт).
4) не уверен что в dns можно прописать на один ip разные имена
Ну вот как-то так я вижу проблему.
Ну и опять же - грех не использовать адресное пространство.
--
С уважением,
Алексей Морсов
системный администратор ЗАО "ИК "Риком-Траст"
ICQ: 196-766-290
Jabber: samurai@www.fondmarket.ru
www.ricom.ru
www.fondmarket.ru
NP: Music is over :(
* hmepas_ ребутнул провайдерский сервер.
* hmepas_ ждет.....
<combr> hmepas_: ждешь, когда бить прибегут? ;)
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 481 bytes --]
^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Sysadmins] bridge + routing (nat)
2005-12-22 10:26 ` Alexey Morsov
@ 2005-12-22 13:52 ` Aleksey Avdeev
2005-12-22 14:00 ` Alexey Morsov
0 siblings, 1 reply; 28+ messages in thread
From: Aleksey Avdeev @ 2005-12-22 13:52 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Alexey Morsov пишет:
> On Wed, Dec 21, 2005 at 08:43:30PM +0300, Maxim Bodyansky wrote:
>
>>Это конвертор, если быть точным.
>
> Угу.
>
>
>>Скажи, простой переброс портов (SNAT, DNAT) чем плох? Кроме стремления к
>>горизонтоподобному идиалу.
>
> Кроме идеализма плох тем что все конекты идут к одному публичному ip из-за
> чего:
>
> 1) слишком много портов придется пробрасывать (скажем на тот же mail нужно
> 21,22,25,110,143,80,443) на каждый хост
> 2) пересечение портов (прийдется разносить на нестандартные)
Зачем: достаточно разнести по IP.
> 3) есть виндовая машина которая может захотеть некий порт пересекающийся с
> кем-то и изменитьего нельзя (закрытый софт).
Дать ей отдельный IP.
> 4) не уверен что в dns можно прописать на один ip разные имена
Можно
>
> Ну вот как-то так я вижу проблему.
>
> Ну и опять же - грех не использовать адресное пространство.
Что мешает присвоить интерфейсу несколько IP (по IP на сервер) и
прописать требуемые SNAT/DNAT для каждого из них?
--
С уважением. Алексей.
^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Sysadmins] bridge + routing (nat)
2005-12-22 13:52 ` Aleksey Avdeev
@ 2005-12-22 14:00 ` Alexey Morsov
2005-12-22 14:08 ` Re[2]: " Sergiy Guminilovych
2005-12-22 15:05 ` Aleksey Avdeev
0 siblings, 2 replies; 28+ messages in thread
From: Alexey Morsov @ 2005-12-22 14:00 UTC (permalink / raw)
To: sysadmins
[-- Attachment #1: Type: text/plain, Size: 1127 bytes --]
On Thu, Dec 22, 2005 at 04:52:44PM +0300, Aleksey Avdeev wrote:
>
> Зачем: достаточно разнести по IP.
Не понял?
>
> >3) есть виндовая машина которая может захотеть некий порт пересекающийся с
> >кем-то и изменитьего нельзя (закрытый софт).
>
> Дать ей отдельный IP.
Опять не понял. У нее и так отдельный ip в приватной сетке. И что? Извне
то обращение идет к одному публичному ip
>
> >4) не уверен что в dns можно прописать на один ip разные имена
>
> Можно
Ну допустим... Хотя это уже скорее srv наверное.
>
> >
> >Ну вот как-то так я вижу проблему.
> >
> >Ну и опять же - грех не использовать адресное пространство.
>
> Что мешает присвоить интерфейсу несколько IP (по IP на сервер) и
> прописать требуемые SNAT/DNAT для каждого из них?
ip aliasing? Ну а тогда смысл? Тогда уж сами машины с их публичными ip.
--
С уважением,
Алексей Морсов
системный администратор ЗАО "ИК "Риком-Траст"
ICQ: 196-766-290
Jabber: samurai@www.fondmarket.ru
www.ricom.ru
www.fondmarket.ru
NP: Music is over :(
* gvy придумал новый термин: "дераадтизация", или снос openbsd
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 481 bytes --]
^ permalink raw reply [flat|nested] 28+ messages in thread
* Re[2]: [Sysadmins] bridge + routing (nat)
2005-12-22 14:00 ` Alexey Morsov
@ 2005-12-22 14:08 ` Sergiy Guminilovych
2005-12-22 14:51 ` Alexey Morsov
2005-12-22 15:05 ` Aleksey Avdeev
1 sibling, 1 reply; 28+ messages in thread
From: Sergiy Guminilovych @ 2005-12-22 14:08 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Hello Alexey,
Thursday, December 22, 2005, 4:00:58 PM, you wrote:
>> Что мешает присвоить интерфейсу несколько IP (по IP на сервер) и
>> прописать требуемые SNAT/DNAT для каждого из них?
> ip aliasing? Ну а тогда смысл? Тогда уж сами машины с их публичными ip.
Смысл в том, что пробрасываться на машину будуть только нужные вам
порты. Все остальное будет резаться на роутере.
--
Best regards,
Sergiy mailto:gray_post@mail.ru
^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Sysadmins] bridge + routing (nat)
2005-12-22 14:08 ` Re[2]: " Sergiy Guminilovych
@ 2005-12-22 14:51 ` Alexey Morsov
0 siblings, 0 replies; 28+ messages in thread
From: Alexey Morsov @ 2005-12-22 14:51 UTC (permalink / raw)
To: sysadmins
[-- Attachment #1: Type: text/plain, Size: 723 bytes --]
On Thu, Dec 22, 2005 at 04:08:43PM +0200, Sergiy Guminilovych wrote:
> Смысл в том, что пробрасываться на машину будуть только нужные вам
> порты. Все остальное будет резаться на роутере.
Ну это понятно. Но хочется все таки именно напрямую но под файерволом.
Ладно - пока вопрос прикрываю, потому как сейчас сам канал малость
колбасит (1) и нет тестовых машинок (а на боевых эксперементировать низя)
--
С уважением,
Алексей Морсов
системный администратор ЗАО "ИК "Риком-Траст"
ICQ: 196-766-290
Jabber: samurai@www.fondmarket.ru
www.ricom.ru
www.fondmarket.ru
NP: Music is over :(
<Hiddenman> блин, маздай: пришел, а у меня screensaver в виде kernel
panic.....испугался и удивился ;)
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 481 bytes --]
^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Sysadmins] bridge + routing (nat)
2005-12-22 14:00 ` Alexey Morsov
2005-12-22 14:08 ` Re[2]: " Sergiy Guminilovych
@ 2005-12-22 15:05 ` Aleksey Avdeev
2005-12-23 10:06 ` Alexey Morsov
1 sibling, 1 reply; 28+ messages in thread
From: Aleksey Avdeev @ 2005-12-22 15:05 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Alexey Morsov пишет:
> On Thu, Dec 22, 2005 at 04:52:44PM +0300, Aleksey Avdeev wrote:
>
>> Зачем: достаточно разнести по IP.
>
> Не понял?
>
>>>3) есть виндовая машина которая может захотеть некий порт пересекающийся с
>>>кем-то и изменитьего нельзя (закрытый софт).
>>
>> Дать ей отдельный IP.
>
> Опять не понял. У нее и так отдельный ip в приватной сетке. И что? Извне
> то обращение идет к одному публичному ip
Зачем, к 1 публичному? Если я вас правильно понял, у вас есть
подсеть из принадлежащих вам внешних адресов. Вот и выделить для неё
1 ip из этой сетки. Вешаете его на внешний интерфейс роутера любым
удобным способом и настраиваете SNAT/DNAT для этого адреса.
>
>
>>>4) не уверен что в dns можно прописать на один ip разные имена
>>
>> Можно
>
> Ну допустим... Хотя это уже скорее srv наверное.
>
>
>
>>>Ну вот как-то так я вижу проблему.
>>>
>>>Ну и опять же - грех не использовать адресное пространство.
>>
>> Что мешает присвоить интерфейсу несколько IP (по IP на сервер) и
>>прописать требуемые SNAT/DNAT для каждого из них?
>
> ip aliasing? Ну а тогда смысл? Тогда уж сами машины с их публичными ip.
В дополнительной точке контроля: что бы не произошло на серверах
-- открыт будет только настроенный вами трафик.
--
С уважением. Алексей.
^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Sysadmins] bridge + routing (nat)
2005-12-22 15:05 ` Aleksey Avdeev
@ 2005-12-23 10:06 ` Alexey Morsov
2005-12-23 12:10 ` Aleksey Avdeev
0 siblings, 1 reply; 28+ messages in thread
From: Alexey Morsov @ 2005-12-23 10:06 UTC (permalink / raw)
To: sysadmins
[-- Attachment #1: Type: text/plain, Size: 903 bytes --]
On Thu, Dec 22, 2005 at 06:05:32PM +0300, Aleksey Avdeev wrote:
> Зачем, к 1 публичному? Если я вас правильно понял, у вас есть
> подсеть из принадлежащих вам внешних адресов. Вот и выделить для неё
> 1 ip из этой сетки. Вешаете его на внешний интерфейс роутера любым
> удобным способом и настраиваете SNAT/DNAT для этого адреса.
Т.е. роутер будет иметь на внешнем интерфейсе N ip ?
--
С уважением,
Алексей Морсов
системный администратор ЗАО "ИК "Риком-Траст"
ICQ: 196-766-290
Jabber: samurai@www.fondmarket.ru
www.ricom.ru
www.fondmarket.ru
NP: Music is over :(
* nikon офигевает
<Voins> nikon, зачем?
<nikon> Voins: да в sisyphus@ прочитал, почему при нажатии на power комп
не выключается. решил проверрить, сделал modprobe button...
выключился.
<Voins> nikon, сразу после modprobe? :)
<nikon> Voins: да :) Даже на кнопку нажимать не пришлось
[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 481 bytes --]
^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Sysadmins] bridge + routing (nat)
2005-12-23 10:06 ` Alexey Morsov
@ 2005-12-23 12:10 ` Aleksey Avdeev
0 siblings, 0 replies; 28+ messages in thread
From: Aleksey Avdeev @ 2005-12-23 12:10 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Alexey Morsov пишет:
> On Thu, Dec 22, 2005 at 06:05:32PM +0300, Aleksey Avdeev wrote:
>
>> Зачем, к 1 публичному? Если я вас правильно понял, у вас есть
>>подсеть из принадлежащих вам внешних адресов. Вот и выделить для неё
>>1 ip из этой сетки. Вешаете его на внешний интерфейс роутера любым
>>удобным способом и настраиваете SNAT/DNAT для этого адреса.
>
> Т.е. роутер будет иметь на внешнем интерфейсе N ip ?
Да
--
С уважением. Алексей.
^ permalink raw reply [flat|nested] 28+ messages in thread
* Re: [Sysadmins] bridge + routing (nat)
2005-12-16 16:47 [Sysadmins] bridge + routing (nat) Alexey Morsov
2005-12-16 16:59 ` slaytor
@ 2006-01-03 13:28 ` Andrey Kuleshov
1 sibling, 0 replies; 28+ messages in thread
From: Andrey Kuleshov @ 2006-01-03 13:28 UTC (permalink / raw)
To: ALT Linux sysadmin discuss, samurai
Здравствуйте!
Нужное вам легко реализуется использованием DMZ
Поставьте в роутер третий интерфейс (схема с одним файрволом), к нему
подключите hab/switch и дальше компы, что должны быть видны из инета.
Дальше все настраивается средствами iptables.
Видимый недостаток: интерфейсу DMZ должен быть присвоен реальный IP.
PS. Известны схемы построения DMZ с использованием одного и двух файрволов.
PPS. Взамен NAT я бы использовал прокси
Alexey Morsov пишет:
>Привет,
>
>Имею:
>локалку выпускаемую в инет через роутер на linux
>
>lan <-> hab/switch <-> router <-> optical modem <-> inet
>
>Т.е. сейчас все сделано на роутинг с nat. Роутер с двумя ифейсами, одним в
>локалке другим в выделенной провом сетке (будем называеться ее реальной).
>
>Вроде, после долгих отловов глюков сегодня после вчерашнего перезда на
>новый канал все теперь работает (а всего-то где-то в прововских днс-ах
>почему-то старый ip осел, ну да бог с ним) как и работало на старом
>канале.
>
>Однако этот пров выдал /28 подсеть - т.е. есть отличная возможность
>перенести в их адресное пространство пару наших компов (в частности mail и
>spot) для разгрузки того бедного isdn в 128кбит на котором они живут до
>сих пор.
>Но выставлять их в сеть напрямую как-то не правильно. Надо за файервол
>посадить.
>
>Как я понял тут нужна схема
>
>lan (192.) <-->+---+ +-------------+ <--> modem <-> inet
> |hub|<-> router |
>mail (85.) <-->| | | (bridge+nat)|
>spot (85.) <-->+---+ +-------------+
>
+---+NAT+------+
lan (192.) <-->|hub|<->|router|<--> modem <-> inet
+---+ +------+
^
|
v
+---+
|hub|
+---+
^
|
v
DMZ
+-----+
|(85.)|
|mail |
|spot |
|etc |
+-----+
>
>Опять же как я понял, bridge это когда создается некий виртуальный
>интерфейс связывающий оба интерфейса роутера но с единым ip (или даже
>вообще без него?) - т.е. типа как провода спаяли вместе.
>Плюс, как я понял, изначально iptables и bridge друг друга не очень видят.
>Пробовал создавать bridge - создается, в ip route list присутствует. Но
>папеты перестают ходить напрочь, даже с локального хоста.
>
>Вообщем - вопрос: что есть конкретно про такое объединение почитать? ссылки.
>Гуглил полдня. Накопал много. Но как-то все по отдельности. ALN Howto читаю - но там
>как-то вскольз (или я просто не понял). Видел ebtables - вроде бы то что
>надо, но есть ли оно у нас в Master24?
>Вообщем ткните в более бодробную документацию именно по объединению bridge
>с nat.
>
--
AK1041-UANIC
^ permalink raw reply [flat|nested] 28+ messages in thread
end of thread, other threads:[~2006-01-03 13:28 UTC | newest]
Thread overview: 28+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2005-12-16 16:47 [Sysadmins] bridge + routing (nat) Alexey Morsov
2005-12-16 16:59 ` slaytor
2005-12-16 17:07 ` Alexey Morsov
2005-12-19 9:51 ` Шенцев Алексей Владимирович
2005-12-19 14:23 ` Alexey Morsov
2005-12-19 14:32 ` Шенцев Алексей Владимирович
2005-12-19 22:49 ` Alexey Morsov
2005-12-20 6:01 ` Egorov Alexey
2005-12-20 6:26 ` Шенцев Алексей Владимирович
2005-12-20 10:53 ` Anatoliy Lisjutin
2005-12-20 11:03 ` Шенцев Алексей Владимирович
2005-12-20 8:42 ` Michael Shigorin
2005-12-20 11:05 ` Egorov Alexey
2005-12-20 12:20 ` Alexey Morsov
2005-12-21 3:08 ` Re[2]: " Беляев В.Н.
2005-12-21 6:06 ` Egorov Alexey
2005-12-21 7:37 ` Re[2]: " Беляев В.Н.
2005-12-21 13:31 ` Alexey Morsov
2005-12-21 17:43 ` Maxim Bodyansky
2005-12-22 10:26 ` Alexey Morsov
2005-12-22 13:52 ` Aleksey Avdeev
2005-12-22 14:00 ` Alexey Morsov
2005-12-22 14:08 ` Re[2]: " Sergiy Guminilovych
2005-12-22 14:51 ` Alexey Morsov
2005-12-22 15:05 ` Aleksey Avdeev
2005-12-23 10:06 ` Alexey Morsov
2005-12-23 12:10 ` Aleksey Avdeev
2006-01-03 13:28 ` Andrey Kuleshov
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git