romka Опубликовано 11 февраля, 2009 · Жалоба Ребят, кто может уже реализовывал. Нужен совет, не могу до сути добраться. 1. Задача реализовать NAT на FreeBSD (статический или динамический) из одной сети в другую на 500-500 пользователей используя или динамический или статический NAT. При реализации с задачей №1 столкнулся с некоторыми совсем неприятными моментами: 1. Динамический NAT вообще как таковой не реализован в FreeBSD - смотрел (NG_NAT, NATD) в PFNAT есть некое подобие но никто не пишет что это именно dynamic nat. 2. Почему-то всегда необходимо поднимать алиасы на интерфейсе в случае реализации статического NAT - представте себе логику этого процесса, я не представляю, при динамическом НАТ темболее. Теперь собственно вопросы над которыми я уже сломал голову: 1. На чем в FreeBSD можно реализовать функцию Динамической маршрутизации (сеть в сеть) без поднятия каких либо алиасов на внешнем интерфейсе. 2. На чем можно реализовать статическую стансляцию (1:1 NAT, bidirectional nat) без поднятия алиасов на внешнем интерфейсе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cmhungry Опубликовано 11 февраля, 2009 · Жалоба Ребят, кто может уже реализовывал. Нужен совет, не могу до сути добраться. 1. Задача реализовать NAT на FreeBSD (статический или динамический) из одной сети в другую на 500-500 пользователей используя или динамический или статический NAT. pf binat pass on $if from 10.46.0.0/16 to any -> 10.48.0.0/16 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
romka Опубликовано 11 февраля, 2009 · Жалоба этот пример описывает динамический nat ? - алиасы не нужны ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
t0ly Опубликовано 11 февраля, 2009 · Жалоба нет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cmhungry Опубликовано 11 февраля, 2009 · Жалоба этот пример описывает динамический nat ? - алиасы не нужны ?то статический "сеть-в-сеть"алиасы не нужны, нужно только чтобы маршрутизация вела на эту коробку Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
romka Опубликовано 11 февраля, 2009 (изменено) · Жалоба только попробовал - binat без alias'ов тоже не работает. пакеты измененные доходят до назначения, а обратно как не знают.. [MY-COMP 10.10.11.99/24] ------ [ 10.10.11.66/24 -NAT- 192.168.1.5/24 ] --- [192.168.1.1/24 - DST - 192.168.100.1/24] MYCOMP шлюз: 10.10.11.66 NAT шлюз 192.168.1.1 DST - нет шлюза - предполагается что он и не нужен - поскольку правилами транслируется в 10.10.11.64/26 в 192.168.1.64/26 Далее ping с MY-COMP на 192.168.100.1 = на DST видно 192.168.1.99 что правильно, обратки нет. Изменено 11 февраля, 2009 пользователем romka Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cmhungry Опубликовано 11 февраля, 2009 · Жалоба только попробовал - binat без alias'ов тоже не работает.пакеты измененные доходят до назначения, а обратно как не знают.. [MY-COMP 10.10.11.99/24] ------ [ 10.10.11.66/24 -NAT- 192.168.1.5/24 ] --- [192.168.1.1/24 - DST - 192.168.100.1/24] MYCOMP шлюз: 10.10.11.66 NAT шлюз 192.168.1.1 DST - нет шлюза - предполагается что он и не нужен - поскольку правилами транслируется в 10.10.11.64/26 в 192.168.1.64/26 Далее ping с MY-COMP на 192.168.100.1 = на DST видно 192.168.1.99 что правильно, обратки нет. с маршрутизацией разбирайтесь просто тогда Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
romka Опубликовано 11 февраля, 2009 (изменено) · Жалоба Стоп, никакой маршрутизации быть в BINAT 1 в 1 не должно - на то он и BI NAT Уже оттраслируемые адреса должны отвечать на стыке интерфейсов - или я не прав ? А отвечают они только в том случае если мы прописываем alias уже оттранслируемого адреса на сервере NAT, чего я как раз и хочу избежать на машине [192.168.1.1/24 - DST - 192.168.100.1/24] ввожу arp -an и вижу все мои оттранслируемые адреса с мак адресом в статусе (incomplete). Изменено 11 февраля, 2009 пользователем romka Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martin74 Опубликовано 11 февраля, 2009 · Жалоба Добиваетесь телепатии? Или маршрутизация, или алиасы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
romka Опубликовано 11 февраля, 2009 (изменено) · Жалоба в том что стык L2 между двумя машинами, в этом не может быть проблемы - поскольку как я уже говорил DST пытается разрешить IP которого физически нет на NAT ? [ 10.10.11.66/24 -NAT- 192.168.1.5/24 ] --- [192.168.1.1/24 - DST - 192.168.100.1/24] Повторяюсь что с алиасами работает.!!! - но 400-500 пользователей алиасами переписывать бред какой-то Изменено 11 февраля, 2009 пользователем romka Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cmhungry Опубликовано 11 февраля, 2009 · Жалоба с маршрутизацией разбирайтесь если на DST прописать маршрут на наченную сеть на нат - все будет работать Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...