From: Andrey Kuleshov <drew@bumer.com.ua>
To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>,
samurai@ricom.ru
Subject: Re: [Sysadmins] bridge + routing (nat)
Date: Tue, 03 Jan 2006 15:28:11 +0200
Message-ID: <43BA7BEB.9050108@bumer.com.ua> (raw)
In-Reply-To: <20051216164755.GA25598@ricom.ru>
Здравствуйте!
Нужное вам легко реализуется использованием DMZ
Поставьте в роутер третий интерфейс (схема с одним файрволом), к нему
подключите hab/switch и дальше компы, что должны быть видны из инета.
Дальше все настраивается средствами iptables.
Видимый недостаток: интерфейсу DMZ должен быть присвоен реальный IP.
PS. Известны схемы построения DMZ с использованием одного и двух файрволов.
PPS. Взамен NAT я бы использовал прокси
Alexey Morsov пишет:
>Привет,
>
>Имею:
>локалку выпускаемую в инет через роутер на linux
>
>lan <-> hab/switch <-> router <-> optical modem <-> inet
>
>Т.е. сейчас все сделано на роутинг с nat. Роутер с двумя ифейсами, одним в
>локалке другим в выделенной провом сетке (будем называеться ее реальной).
>
>Вроде, после долгих отловов глюков сегодня после вчерашнего перезда на
>новый канал все теперь работает (а всего-то где-то в прововских днс-ах
>почему-то старый ip осел, ну да бог с ним) как и работало на старом
>канале.
>
>Однако этот пров выдал /28 подсеть - т.е. есть отличная возможность
>перенести в их адресное пространство пару наших компов (в частности mail и
>spot) для разгрузки того бедного isdn в 128кбит на котором они живут до
>сих пор.
>Но выставлять их в сеть напрямую как-то не правильно. Надо за файервол
>посадить.
>
>Как я понял тут нужна схема
>
>lan (192.) <-->+---+ +-------------+ <--> modem <-> inet
> |hub|<-> router |
>mail (85.) <-->| | | (bridge+nat)|
>spot (85.) <-->+---+ +-------------+
>
+---+NAT+------+
lan (192.) <-->|hub|<->|router|<--> modem <-> inet
+---+ +------+
^
|
v
+---+
|hub|
+---+
^
|
v
DMZ
+-----+
|(85.)|
|mail |
|spot |
|etc |
+-----+
>
>Опять же как я понял, bridge это когда создается некий виртуальный
>интерфейс связывающий оба интерфейса роутера но с единым ip (или даже
>вообще без него?) - т.е. типа как провода спаяли вместе.
>Плюс, как я понял, изначально iptables и bridge друг друга не очень видят.
>Пробовал создавать bridge - создается, в ip route list присутствует. Но
>папеты перестают ходить напрочь, даже с локального хоста.
>
>Вообщем - вопрос: что есть конкретно про такое объединение почитать? ссылки.
>Гуглил полдня. Накопал много. Но как-то все по отдельности. ALN Howto читаю - но там
>как-то вскольз (или я просто не понял). Видел ebtables - вроде бы то что
>надо, но есть ли оно у нас в Master24?
>Вообщем ткните в более бодробную документацию именно по объединению bridge
>с nat.
>
--
AK1041-UANIC
prev parent reply other threads:[~2006-01-03 13:28 UTC|newest]
Thread overview: 28+ messages / expand[flat|nested] mbox.gz Atom feed top
2005-12-16 16:47 Alexey Morsov
2005-12-16 16:59 ` slaytor
2005-12-16 17:07 ` Alexey Morsov
2005-12-19 9:51 ` Шенцев Алексей Владимирович
2005-12-19 14:23 ` Alexey Morsov
2005-12-19 14:32 ` Шенцев Алексей Владимирович
2005-12-19 22:49 ` Alexey Morsov
2005-12-20 6:01 ` Egorov Alexey
2005-12-20 6:26 ` Шенцев Алексей Владимирович
2005-12-20 10:53 ` Anatoliy Lisjutin
2005-12-20 11:03 ` Шенцев Алексей Владимирович
2005-12-20 8:42 ` Michael Shigorin
2005-12-20 11:05 ` Egorov Alexey
2005-12-20 12:20 ` Alexey Morsov
2005-12-21 3:08 ` Re[2]: " Беляев В.Н.
2005-12-21 6:06 ` Egorov Alexey
2005-12-21 7:37 ` Re[2]: " Беляев В.Н.
2005-12-21 13:31 ` Alexey Morsov
2005-12-21 17:43 ` Maxim Bodyansky
2005-12-22 10:26 ` Alexey Morsov
2005-12-22 13:52 ` Aleksey Avdeev
2005-12-22 14:00 ` Alexey Morsov
2005-12-22 14:08 ` Re[2]: " Sergiy Guminilovych
2005-12-22 14:51 ` Alexey Morsov
2005-12-22 15:05 ` Aleksey Avdeev
2005-12-23 10:06 ` Alexey Morsov
2005-12-23 12:10 ` Aleksey Avdeev
2006-01-03 13:28 ` Andrey Kuleshov [this message]
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=43BA7BEB.9050108@bumer.com.ua \
--to=drew@bumer.com.ua \
--cc=samurai@ricom.ru \
--cc=sysadmins@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git