можно ли сделать так чтобы одна подсеть ходила в инет через один ip а другая через другой?
в ipnat'е это решается оч. просто:
map <сетевуха> <подсеть> -> <внешний IP>
а ежели юзать natd???
умеет ли natd делать такое.... ?
Модераторы: Trinity admin`s, Free-lance moderator`s
Re: умеет ли natd делать такое.... ?
пусть есть две сетвые карты наружу em0 и em1. Через первую выпускаем net1, через вторую - net2linz писал(а):можно ли сделать так чтобы одна подсеть ходила в инет через один ip а другая через другой?
в ipnat'е это решается оч. просто:
map <сетевуха> <подсеть> -> <внешний IP>
а ежели юзать natd???
во-первых запустить два процесса NAT
natd -n em0 -p 6666
natd -n em1 -p 7777
ipfw add 10 divert 6666 all from ${net1} to any out recv ${net1_iface} xmit em0
ipfw add 11 divert 6666 all from any to ${em0_ip} in via em0
#
ipfw add 20 divert 7777 all from ${net2} to any out recv ${net2_iface} xmit em1
ipfw add 11 divert 7777 all from any to ${em1_ip} in via em1
net1_iface и net2_iface - это интерфейсы, через которые приходят клиенты net1 и net2.
Это может быть один и тот же интерфейс.
-
Stranger03
- Сотрудник Тринити
- Сообщения: 12979
- Зарегистрирован: 14 ноя 2003, 16:25
- Откуда: СПб, Екатеринбург
- Контактная информация:
Stranger03 писал(а):Ну а какая разница, адреса то два.linz писал(а):у меня в инет смотрит одна сетевуха, а 2й ip'шник написан alias'ом.
как тогда быть?
хмм...
вы внимательно прочитали правило диверта из предыдущего поста? так вот оно выглядит точно так как оно должно выглядеть, тоесть диверт должет идти через какой-то интерфейс. как там собственно и написано, а вот упоминания в этом правиле о каких-либо алиасных айпишниках полностью отсутсвует.
в этом случае решения предложить не могу. Но не факт, что его нет.linz писал(а):интерфейс. как там собственно и написано, а вот упоминания в этом правиле о каких-либо алиасных айпишниках полностью отсутсвует.
Во первых можно клонировать интерфейсы (man ifconfig, vlan),
но тогда кто-то должен тегировать пакеты на входе в зависимости от destination IP (Layer3 switch + 802.1d)
Во вторых можно подумать про использование ключика -reverse для natd, чтобы дивертить на внутренних интерфейсах.
В третьих можно попробовать повесить алиас одного из внешних IP на loopback (lo0) и дивертить пакеты туда. Я так никогда не пробовал, но сработать должно. очевидная проблема этого метода - очень много пакетов через loopback идет, может повлиять на производительность.
Все три идеи даны без проверки. Если что получится, отпишите plz. Случай интересный.
UPD
В четвертых!
man natd rulez!
alias_address | -a address
Use address as the aliasing address. Either this or the
-interface option must be used (but not both), if the
-proxy_only option is not specified. The specified address
is usually the address assigned to the ``public'' network
interface.
All data passing out will be rewritten with a source address
equal to address. All data coming in will be checked to see
if it matches any already-aliased outgoing connection. If it
does, the packet is altered accordingly. If not, all
-redirect_port, -redirect_proto and -redirect_address assign-
ments are checked and actioned. If no other action can be
made and if -deny_incoming is not specified, the packet is
delivered to the local machine using the rules specified in
-target_address option below.
ну, что значит тишина?
Так не бывает!
Обычные проблемы с natd бывают вызваны тем, что правило которое дивертит пакет наружу срабатывает, а когда приходит обратные пакет, то его пропускает правило ДО divert.
Выясняетсмя просто
ipfw -at list
и посмотреть, были ли прохождения по правилам дивертом туда и обратно.
Так не бывает!
Обычные проблемы с natd бывают вызваны тем, что правило которое дивертит пакет наружу срабатывает, а когда приходит обратные пакет, то его пропускает правило ДО divert.
Выясняетсмя просто
ipfw -at list
и посмотреть, были ли прохождения по правилам дивертом туда и обратно.
Кто сейчас на конференции
Сейчас этот форум просматривают: нет зарегистрированных пользователей и 22 гостя