,,Forwardowanie IP'' za NAT

Jakub Piotr Cłapa loc w toya.net.pl
Pon, 25 Lip 2005, 17:08:06 CEST 

Sławomir Kawała wrote:
> Dnia Mon, 25 Jul 2005 01:54:04 +0200
> Jakub Piotr Cłapa <loc w toya.net.pl> napisal(a||e)s:
> 
>>Jak to powinno być zrobione najbardziej poprawnie? iputils2, iptables?
> 
> Poprawnie to dosc nieprecyzyjne okreslenie... wszystko mozna zrobic na
> wiele sposobow... aktualnie tam gdzie sie da stosuje sie dzis raczej
> ip z iproute2 niz ifconfig + route.

Wydaje mi się, że rozwiązanie oparte na routing byłoby najlepsze (wydaje 
mi się najbardziej KISSowe).

>>ale na kilku komputerach chcialbym to
>>publiczne IP zachować. 
> 
> Mozesz zrobic translacje adresow dzieki iptables i SNAT/DNAT zamieniajac
> ip z puli adresow niepublicznych na publiczne... plusem czegos takiego
> jest latwiejsze zarzadzanie traffic shapingiem przy wielosegmentowych,
> bardziej skomplikowanych sieciach... mozesz tez przypisywac ludzikom
> tylko zewnetrzny adres na komputerze... jesli bedziesz mial ludkow z
> adresami wewnetrznymi i zewnetrznymi w sieci to troche problemow sie
> pojawi... 
> 
> Jest jeszcze taka sprawa... wielu ludkow (ja 4 example) gdyby mialo
> odpowiednie lacze, chcialoby dac wszystkim publiczne adresy ip... zrobic
> autoryzacje w lanie (pppoe, pptp or sth), dac zewn adresy + revDNS z
> nazwiska dla kazdego i dzieki temu, jesli ktos cos zacznie kombinowac w
> sieci to odrazu wiadomo do kogo sie zglosic ;) Troche problemow odpada
> odrazu.

Możnaby, ale wole to robić według potrzeb (jak ktoś się zgłosi i powie, 
że chce, to mu dam), bo nie mam tych adresów na pęczki.
> 
>>Co ustawic na routerze, zeby uzyskac taki
>>efekt? 
> 
> Jak w tym momencie przypisujesz ludziom publiczne adresy ? Wrzuc output
> z ip route show, ip addr show

W tym momencie nijak. Mam sieć, w której nie ma serwera (przynajmniej w 
tym segmencie) i wszyscy mają recznie nadawane publiczne IP. Chce im je 
zabrać (większości nie są potrzebne i co prawda na robaki internetowe 
wystarczyłby firewall, ale IPków też wcale nie ma za dużo (a komputerów 
przybywa).

Jak to zrobić w oparciu o routing? (proste regulki nie wystarczaja, a z 
ip route jestem na razie dość cienki...) Gdyby ktoś zechciał to jakoś 
adnie wyjasnic --- byłbym niezmiernie wdzięczny. (mam nadzieje, że nie 
jestem glupi, tylko po prostu niedouczony i zrozumiem bez nadmiernego 
wysilku ze strony tlumaczacego ;).

-- 
z wyrazami szacunku,
Jakub Piotr Cłapa

Więcej informacji o liście dyskusyjnej pld-devel-pl