Jump to content

вопросы по NAT FreeBSD

romka
 Share

Recommended Posts

romka

romka

Posted
Posted

Ребят, кто может уже реализовывал.

Нужен совет, не могу до сути добраться.

 

1. Задача реализовать NAT на FreeBSD (статический или динамический) из одной сети в другую на 500-500 пользователей используя или динамический или статический NAT.

 

При реализации с задачей №1 столкнулся с некоторыми совсем неприятными моментами:

 

1. Динамический NAT вообще как таковой не реализован в FreeBSD - смотрел (NG_NAT, NATD) в PFNAT есть некое подобие но никто не пишет что это именно dynamic nat.

2. Почему-то всегда необходимо поднимать алиасы на интерфейсе в случае реализации статического NAT - представте себе логику этого процесса, я не представляю, при динамическом НАТ темболее.

 

 

Теперь собственно вопросы над которыми я уже сломал голову:

 

1. На чем в FreeBSD можно реализовать функцию Динамической маршрутизации (сеть в сеть) без поднятия каких либо алиасов на внешнем интерфейсе.

2. На чем можно реализовать статическую стансляцию (1:1 NAT, bidirectional nat) без поднятия алиасов на внешнем интерфейсе.

 

 

 

 

 

cmhungry

cmhungry

Posted
Posted
Ребят, кто может уже реализовывал.

Нужен совет, не могу до сути добраться.

 

1. Задача реализовать NAT на FreeBSD (статический или динамический) из одной сети в другую на 500-500 пользователей используя или динамический или статический NAT.

pf

 

binat pass on $if from 10.46.0.0/16 to any -> 10.48.0.0/16

romka

romka

Posted
  • Author
Posted

этот пример описывает динамический nat ? - алиасы не нужны ?

cmhungry

cmhungry

Posted
Posted
этот пример описывает динамический nat ? - алиасы не нужны ?
то статический "сеть-в-сеть"

алиасы не нужны, нужно только чтобы маршрутизация вела на эту коробку

romka

romka

Posted
  • Author
Posted (edited)

только попробовал - binat без alias'ов тоже не работает.

пакеты измененные доходят до назначения, а обратно как не знают..

 

 

[MY-COMP 10.10.11.99/24] ------ [ 10.10.11.66/24 -NAT- 192.168.1.5/24 ] --- [192.168.1.1/24 - DST - 192.168.100.1/24]

 

 

MYCOMP шлюз: 10.10.11.66

NAT шлюз 192.168.1.1

DST - нет шлюза - предполагается что он и не нужен - поскольку правилами транслируется в 10.10.11.64/26 в 192.168.1.64/26

 

Далее ping с MY-COMP на 192.168.100.1 = на DST видно 192.168.1.99 что правильно, обратки нет.

Edited by romka
cmhungry

cmhungry

Posted
Posted
только попробовал - binat без alias'ов тоже не работает.

пакеты измененные доходят до назначения, а обратно как не знают..

 

 

[MY-COMP 10.10.11.99/24] ------ [ 10.10.11.66/24 -NAT- 192.168.1.5/24 ] --- [192.168.1.1/24 - DST - 192.168.100.1/24]

 

 

MYCOMP шлюз: 10.10.11.66

NAT шлюз 192.168.1.1

DST - нет шлюза - предполагается что он и не нужен - поскольку правилами транслируется в 10.10.11.64/26 в 192.168.1.64/26

 

Далее ping с MY-COMP на 192.168.100.1 = на DST видно 192.168.1.99 что правильно, обратки нет.

с маршрутизацией разбирайтесь просто тогда
romka

romka

Posted
  • Author
Posted (edited)

Стоп, никакой маршрутизации быть в BINAT 1 в 1 не должно - на то он и BI NAT

Уже оттраслируемые адреса должны отвечать на стыке интерфейсов - или я не прав ?

 

А отвечают они только в том случае если мы прописываем alias уже оттранслируемого адреса на сервере NAT, чего я как раз и хочу избежать

 

на машине [192.168.1.1/24 - DST - 192.168.100.1/24]

ввожу arp -an и вижу все мои оттранслируемые адреса с мак адресом в статусе (incomplete).

Edited by romka
romka

romka

Posted
  • Author
Posted (edited)

в том что стык L2 между двумя машинами,

в этом не может быть проблемы - поскольку как я уже говорил DST пытается разрешить IP которого физически нет на NAT ?

 

[ 10.10.11.66/24 -NAT- 192.168.1.5/24 ] --- [192.168.1.1/24 - DST - 192.168.100.1/24]

 

 

Повторяюсь что с алиасами работает.!!! - но 400-500 пользователей алиасами переписывать бред какой-то

Edited by romka

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.