[romka]

Ребят, кто может уже реализовывал.

Нужен совет, не могу до сути добраться.

 

1. Задача реализовать NAT на FreeBSD (статический или динамический) из одной сети в другую на 500-500 пользователей используя или динамический или статический NAT.

 

При реализации с задачей №1 столкнулся с некоторыми совсем неприятными моментами:

 

1. Динамический NAT вообще как таковой не реализован в FreeBSD - смотрел (NG_NAT, NATD) в PFNAT есть некое подобие но никто не пишет что это именно dynamic nat.

2. Почему-то всегда необходимо поднимать алиасы на интерфейсе в случае реализации статического NAT - представте себе логику этого процесса, я не представляю, при динамическом НАТ темболее.

 

 

Теперь собственно вопросы над которыми я уже сломал голову:

 

1. На чем в FreeBSD можно реализовать функцию Динамической маршрутизации (сеть в сеть) без поднятия каких либо алиасов на внешнем интерфейсе.

2. На чем можно реализовать статическую стансляцию (1:1 NAT, bidirectional nat) без поднятия алиасов на внешнем интерфейсе.

 

 

 

 

 

[cmhungry]

Ребят, кто может уже реализовывал.

Нужен совет, не могу до сути добраться.

 

1. Задача реализовать NAT на FreeBSD (статический или динамический) из одной сети в другую на 500-500 пользователей используя или динамический или статический NAT.

pf

 

binat pass on $if from 10.46.0.0/16 to any -> 10.48.0.0/16

[romka]

этот пример описывает динамический nat ? - алиасы не нужны ?

[t0ly]

нет

[cmhungry]

этот пример описывает динамический nat ? - алиасы не нужны ?

то статический "сеть-в-сеть"

алиасы не нужны, нужно только чтобы маршрутизация вела на эту коробку

[romka]

только попробовал - binat без alias'ов тоже не работает.

пакеты измененные доходят до назначения, а обратно как не знают..

 

 

[MY-COMP 10.10.11.99/24] ------ [ 10.10.11.66/24 -NAT- 192.168.1.5/24 ] --- [192.168.1.1/24 - DST - 192.168.100.1/24]

 

 

MYCOMP шлюз: 10.10.11.66

NAT шлюз 192.168.1.1

DST - нет шлюза - предполагается что он и не нужен - поскольку правилами транслируется в 10.10.11.64/26 в 192.168.1.64/26

 

Далее ping с MY-COMP на 192.168.100.1 = на DST видно 192.168.1.99 что правильно, обратки нет.

Изменено 11 февраля, 2009 пользователем romka

[cmhungry]

только попробовал - binat без alias'ов тоже не работает.

пакеты измененные доходят до назначения, а обратно как не знают..

 

 

[MY-COMP 10.10.11.99/24] ------ [ 10.10.11.66/24 -NAT- 192.168.1.5/24 ] --- [192.168.1.1/24 - DST - 192.168.100.1/24]

 

 

MYCOMP шлюз: 10.10.11.66

NAT шлюз 192.168.1.1

DST - нет шлюза - предполагается что он и не нужен - поскольку правилами транслируется в 10.10.11.64/26 в 192.168.1.64/26

 

Далее ping с MY-COMP на 192.168.100.1 = на DST видно 192.168.1.99 что правильно, обратки нет.

с маршрутизацией разбирайтесь просто тогда

[romka]

Стоп, никакой маршрутизации быть в BINAT 1 в 1 не должно - на то он и BI NAT

Уже оттраслируемые адреса должны отвечать на стыке интерфейсов - или я не прав ?

 

А отвечают они только в том случае если мы прописываем alias уже оттранслируемого адреса на сервере NAT, чего я как раз и хочу избежать

 

на машине [192.168.1.1/24 - DST - 192.168.100.1/24]

ввожу arp -an и вижу все мои оттранслируемые адреса с мак адресом в статусе (incomplete).

Изменено 11 февраля, 2009 пользователем romka

[martin74]

Добиваетесь телепатии? Или маршрутизация, или алиасы.

[romka]

в том что стык L2 между двумя машинами,

в этом не может быть проблемы - поскольку как я уже говорил DST пытается разрешить IP которого физически нет на NAT ?

 

[ 10.10.11.66/24 -NAT- 192.168.1.5/24 ] --- [192.168.1.1/24 - DST - 192.168.100.1/24]

 

 

Повторяюсь что с алиасами работает.!!! - но 400-500 пользователей алиасами переписывать бред какой-то

Изменено 11 февраля, 2009 пользователем romka

[cmhungry]

с маршрутизацией разбирайтесь

если на DST прописать маршрут на наченную сеть на нат - все будет работать