Subnets.ru

[Андрей]

Может пишу не по теме - поправьте.
Хочу организовать свой инет в конторе, но при этом, чтоб пользователи выходили из своей подсети 192.168.1.0/24 в 10.10.0.0/16. На винде было все просто сделано - 2 сетевых карты, расшарил одну из них и в свойствах другой в поле шлюз прописал первую сетевую карту. Все аботало бы хорошо, но у винды есть такое свойство - падать. В итоге на винде трафик шел транзитом из одной сетевой карты в другую. А пользователи выходили в сеть 10.10.0.0/16 с адреса той сетевой карты, которая смотрела в сторону пользовательской (не конторской сети)
У меня вопрос - можно ли такое сделать на FreeBSD без NAT?

[root]

Может пишу не по теме - поправьте.

поправил

можно ли такое сделать на FreeBSD без NAT

а зачем тут NAT если комп имеет два интерфейса, по одному в каждой сети
это будет маршрутизация
главное что бы в sysctl было:

Код: Выделить всё

net.inet.ip.forwarding=1

Это можно сделать 2-мя способами:

1. в файл /etc/rc.conf добавить строчку:

Код: Выделить всё

gateway_enable=”YES”

2. в файл /etc/sysctl.conf добавить строчку:

Код: Выделить всё

net.inet.ip.forwarding=1

и что бы не перегружать сервер выполнить команду:

Код: Выделить всё

sysctl net.inet.ip.forwarding=1

[Андрей]

А в настройках у клиента надо указать шлюз внутренней сетевой карты?
И попутно тогда вопросик - как недопустить доступ из 10.10.0.0/16 в 192.168.1.0/24 , но при этом сохранить доступ из 192.168.1.0/24 в 10.10.0.0/16?

[root]

шлюзом для клиента должен быть IP FreeBSD сервера, в каждой подсети свой шлюз

как недопустить доступ....

никак
как ты себе это представляешь вообще ? доступ и обмен трафиком вещь двусторонняя.
единственно что ты можешь сделать, так это закрыть доступ к каким либо портам подсети 192.168.1.0/24 для 10.10.0.0/16
те же 21,22,23,25,80,110,8080 и т.п.
а полностью доступ или есть или его нет

[Андрей]

Может я не так выразился.
При расшаривании сетевого соединения в винде пользователи из сети 192.168.1.0/24 в шлюз прописывали адрес сервера (ну оно и понятно), выходили в сетку 10.10.0./16 (могли смотреть сайт в локалке, просмтривали содержимое файлового сервера), но при этом из сети 10.10.0.0/16 никто(!) не мог попасть в сеть 192.168.1.0/24.

вот конфиги сетевых карт под виндой:

Код: Выделить всё

Расшаренная сетевая карта:
IP: 10.10.10.2
mask: 255.255.0.0
gate: 10.10.0.2

Не расшареная карта (смотрит в контору):
IP: 192.168.1.199
mask: 255.255.255.0
gate: 10.10.10.2


И соответственно у клиента:

Код: Выделить всё

ip: 192.168.1.3
mask: 255.255.255.0
gate: 192.168.1.199

А все кто подключается по принципу:

Код: Выделить всё

ip: 10.10.1.5
mask: 255.255.0.0
gate: 10.10.10.2

Идут лесом

В итоге я получал что если пользователь приобретал в сети 10.10.0.0/16 адрес 10.10.10.2 (т.е. самого сервера) и такой адрес имело 5-7 пользователей

[root]

выглядит полным бредом
1. кто такой 10.10.0.2 ?
2. у ипа 192.168.1.199 из подсети 192.168.1.0/24 гейтом 10.10.0.2 быть просто не может, т.к. ип 10.10.0.2 не принадлежит подсети 192.168.1.0/24

В итоге я получал что если пользователь приобретал в сети 10.10.0.0/16 адрес 10.10.10.2 (т.е. самого сервера) и такой адрес имело 5-7 пользователей

вообще не понял о чем тут речь

нормальная схема такая:

клиент [10.10.10.5/16 c GW на 10.10.10.2] <=> [10.10.10.2/16] FreeBSD сервер [192.168.199/24] <=> [192.168.1.18/24 с GW на 192.168.199] клиент

вот при таком раскладе трафик будет маршрутизироваться сервером из одной подсети в другую

[Андрей]

1. кто такой 10.10.0.2 ?

Сервер доступа (извиняюсь что не оговорил это)

у ипа 192.168.1.199 из подсети 192.168.1.0/24 гейтом 10.10.0.2 быть просто не может, т.к. ип 10.10.0.2 не принадлежит подсети 192.168.1.0/24

Я же говорю, что я рашарил подключение. и поправлю, что гейт на сетевой карте не 10.10.0.2, а 10.10.10.2 т.е ip сетевой карты, которая смотрит в сетку 10.10.0.0/16.

Если из сети 10.10.0.0/16 хоть один гад попадет в 192.168.1.0/24 меня уваолят. т.к. есть расшареные папки с докуметами от самой конторы.

[root]

что гейт на сетевой карте не 10.10.0.2, а 10.10.10.2 т.е ip сетевой карты, которая смотрит в сетку 10.10.0.0/16.

а я и говорю - бред полный
там он нафиг не нужен, т.к. комп внутри сеья сам разберется по маске куда пихать пакет, без указания шлюзов на самого себя

Если из сети 10.10.0.0/16 хоть один гад попадет в 192.168.1.0/24

тогда делай NAT из подсети 192.168.1.0/24 в подсеть 10.10.0.0/16 и запрещай фаиром обмен этих сетей трафиком напрямую

[Андрей]

Чтож вы не верите мне никто??? Один программер тож не верил - когда увидел - понял что работает, но не понял как. Если я гейты пропишу те, которые должны быть (из их родной подсети), то на сервере не будет обмена пакетами между сетевухами.
Мне скрин приложить чтоль?

[root]

какие нафиг гейты если у компа есть интерфейсы в каждую сеть !
задам тебе вопрос:
в каком случае комп отправляет пакет на GW ?