,,Forwardowanie IP'' za NAT
Sławomir Kawała
slwkk w alternatywa.net
Pon, 25 Lip 2005, 19:23:36 CEST
Dnia Mon, 25 Jul 2005 17:08:06 +0200
Jakub Piotr Cłapa <loc w toya.net.pl> napisal(a||e)s:
> Jak to zrobić w oparciu o routing?
Okej, operujmy jakas adresacja... 200.100.50.1/24 to Twoja pula adresow
publicznych do rozdysponowania...
liczba klientow - ~30
adresacja wewnetrzna - 10.0.0.0/27
adres serwera - 200.100.50.1
adresy publiczne klientow - 200.100.50.2-10
eth0 - WAN
eth1 - LAN
/etc/sysconfig/interfaces/ifcfg-eth0:
DEVICE="eth0"
IPADDR="200.100.50.1/24"
IPADDR1="200.100.50.2/24"
IPADDR2="200.100.50.3/24"
IPADDRX="...4-10" #tu juz sobie dalej podopisujesz
ONBOOT="yes"
BOOTPROTO="none"
/etc/sysconfig/interfaces/ifcfg-eth1:
DEVICE="eth1"
IPADDR="10.0.0.1/27"
ONBOOT="yes"
BOOTPROTO="none"
/etc/sysconfig/network
GATEWAY="gw_isp"
GATEWAYDEV="eth0"
/etc/sysctl.conf
net.ipv4.ip_forward = 1
fw:
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
# publiczne adresy dla klientow
iptables -t nat -A PREROUTING -d 200.100.50.2 -j DNAT --to 10.0.0.2
iptables -t nat -A POSTROUTING -s 10.0.0.2 -j SNAT --to 200.100.50.2
iptables -t nat -A PREROUTING -d 200.100.50.3 -j DNAT --to 10.0.0.3
iptables -t nat -A POSTROUTING -s 10.0.0.3 -j SNAT --to 200.100.50.3
(...)
# ludki z lanu bez publicznych
iptables -t nat -A POSTROUTING -s 10.0.0.15 -j SNAT --to 200.100.50.1
iptables -t nat -A POSTROUTING -s 10.0.0.16 -j SNAT --to 200.100.50.1
iptables -t nat -A POSTROUTING -s 10.0.0.17 -j SNAT --to 200.100.50.1
(...)
that's all... of koz dane czysto teoretyczne jesli chodzi o te adresacje
to nie chcialo mi sie nic wymyslac bardziej zyciowego... fw to bardziej
atrapa niz fw, bedziesz musial poczytac na
http://lukasz.bromirski.net/docs/tlumaczenia.html dokumenty o
netfilterze. Prawdopodobnie cos o traffic shapingu (na gleboka wode to
odrazu HFSC + WRR), zrobisz jakas pseudoautoryzacje ip+mac na poziomie
fw modulem mac, dhcp i te sprawy (dhcp mozesz przemyslec ... 2-gi
przypadkowy dhcpd w sieci == spore problemy), jakas autoryzacja z
prawdziwego zdarzenia (pppoe,pptp,sth) + system logowania ruchu w sieci
(b. duze problemy jesli na rzadanie odpowiednim wladzom nie przedstawisz
logow) itd... dlugo by pisac co mozna zrobic... a, no moze jeszcze
proxy... polecam Oops! zamiast squida... maly, przyjemny, latwy w
konfiguracji i dziala.
ps. mam nadzieje, ze nie zapomnialem o niczym, ale raczej jest ok =)
--
pozdr. Slawek
JID: slwkk [at] alternatywa [dot] net
GSM: (0)601-398-348
Więcej informacji o liście dyskusyjnej pld-devel-pl