Nat и раздача реальников.

[gtk]

Каким образом можно раздавать инет натом , и одновременно некоторым пользователям давать реальные ip(без ната). Если кто делал отзовитесь пожалуйста...

Раздельно как сделать понятно... имеется в виду на разных машинах. А как сделать это вместе ?


Используется poptop freebsd 4.10 utm5.1.9(006)

[dalex]

или юзать разные сетевые карты для нат и без нат или попробовать сделать алиасы на сетевую карту которая внутрь

[Vovik]

Каким образом можно раздавать инет натом , и одновременно некоторым пользователям давать реальные ip(без ната). Если кто делал отзовитесь пожалуйста...

Раздельно как сделать понятно... имеется в виду на разных машинах. А как сделать это вместе ?


Используется poptop freebsd 4.10 utm5.1.9(006)

настроить на машине мост, с возможнотью фильтрации пакетов фаерволом!
у меня именно так работает.

[gtk]

Каким образом можно раздавать инет натом , и одновременно некоторым пользователям давать реальные ip(без ната). Если кто делал отзовитесь пожалуйста...

Раздельно как сделать понятно... имеется в виду на разных машинах. А как сделать это вместе ?


Используется poptop freebsd 4.10 utm5.1.9(006)

настроить на машине мост, с возможнотью фильтрации пакетов фаерволом!
у меня именно так работает.

Можно поподробнее?

[Vovik]

Можно поподробнее?

В доке написано как раздавать ip по VPN.

Почитай в инете, что такое DMZ.
Далее в UTM заводишь пользователей с ip из DMZ. Ставишь им безлимит. В ферволе правила для ip из DMZ ставишь на свое усмотрение в зависимости от политики безопасности.

Фрю переводишь в режим моста.
В конфиге ppp указываешь опцию arp-proxy: enable proxy

[Tonchik]

на внутренний интерфейс вешаем алиас с реальным ипом

фаер выглядит так

Код: Выделить всё

 
    ${fwcmd} add 101 divert natd ip from ${netint} to any via ${ifext}
    ${fwcmd} add 102 divert natd ip from any to ${ipext} via ${ifext}
    ${fwcmd} add 103 divert natd ip from any to me via ${ifext}

${netint} - внутренняя маскарадная сеть (например 10,0,0,1.24)
${ifext} - внешний интерфейс
${ipext} - адрес внешнего интерфейса

нат стартуем со флагом -f /etc/natd.conf

в /etc/natd.conf пишем (прочтя man natd)

Код: Выделить всё

same_ports yes
alias_address <тут как раз тот самый $&#123;ipext&#125;>
unregistered_only yes

[gtk]

Вообщем все получилось, причем использовав совет про arp proxy , только причем тут DMZ ). Я сделал проще включил арп прокси и в фаере прописал форвардинг до маршрутизатора...(фрю в режим моста я не переводил... ) и все. Кстати получается можно сделать так чтобы Юзеры в зависимости от логина могли сидеть на разных каналах. Имеется в виду спутниковый наземный...

[Vovik]

Каким образом можно раздавать инет натом , и одновременно некоторым пользователям давать реальные ip(без ната). Если кто делал отзовитесь пожалуйста...

Раздельно как сделать понятно... имеется в виду на разных машинах. А как сделать это вместе ?


Используется poptop freebsd 4.10 utm5.1.9(006)

Отсюда я предположил, что есть локалка типа 192,168,0,0/16, которая на шлюза загоняется в нат.
А хочется еще и реальники прогонять через шлюз (это и есть DMZ - это если в краце конешно).....
В режим моста переводить не обязательно, но тогда надо резать сетку, чтобы нормально роутинг настроить.

А конфиг фаервола можно в студию?

[Vovik]

Или вот тока щас дошло, что ты всех подключаешь по vpn. Раздаешь все ip из серых адресов и гонишь их в нат. Такой вариант должен быть в доке, если мне память не изменяет.
Другое дело, что если у тебя попросят на машину поставить реальный ip без всяких vpn. Вот тогда и будешь резать сетку или переводить в режим моста.

в этом случае не надо фаервол показывать