Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
С натом всё будет в порядке. 18.08.06 17:23 Число просмотров: 2782
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
|
> Что думаю: > У меня есть отдельная машинка под фрей, на единственной > морде которой, смотрящей в локалку провайдера А, висит > dhcp. Попутно она выполняет еще кое-какие задачи, которые в > контексте данного вопроса роли не играют. На эту машину > думаю установить еще две сетевухи, чтобы одна смотрела в > изолированную домашнюю сеть, а две остальные - в сети > провайдеров. Также на этой тачке устанавливать vpn и > pppoe-линки к провайдерам. > Т.к. адреса нигде не пересекаются, достаточно будет > прописать статические маршруты, чтобы разрулить, куда и как > лезть. Вместе с тем, домашка ведь будет ходить наружу через > nat, а работа нат на несколько внешних интерфейсов для меня > пока - темный лес. Какие тут методы можно применить?
С натом всё будет в порядке.
Надо будет запустить два ната на разных портах.
соответственно, у тебя в правилах будет два диверта:
ipfw add 1000 divert ${nat_prov_a} ip from any to any via ${if_prov_a}
ipfw add 1100 divert ${nat_prov_b} ip from any to any via ${if_prov_b}
> Также нужно настроить фаер так, чтобы эта машина ни в коем > случае не роутила пакеты между внешними интерфейсами > (объединять сети двух провайдеров в мои планы ну никак не > входит). Дивертов на нат для локалки и deny ip from any to > any в конце будет достаточно? Или достаточно просто > вырубить gateway_enable в rc.conf? (По сути, гейта-то у > меня нет, все через nat идет).
gateway_enable выключать нельзя. Без роутинга пакет до ната не дойдёт. У тебя именно что гейт. Ну так достаточно пары правил:
ipfw add 2000 deny ip from ${prov_a_net} to ${prov_b_net}
ipfw add 2000 deny ip from ${prov_b_net} to ${prov_a_net}
|
|
|