2013/9/20 Maykel Franco <[email protected]>: > > El 20/09/2013 22:46, "C. L. Martinez" <[email protected]> escribió: >> >> 2013/9/20 Camaleón <[email protected]>: >> > El Thu, 19 Sep 2013 10:33:22 +0200, Maykel Franco escribió: >> > >> > (...) >> > >> >> Bueno el caso, es que compartimos el firewall con unos compañeros que >> >> hay por aquí, tenemos el mismo rango de ip publica con el mismo >> >> proveedor, un ejemplo: >> >> >> >> - Nuestra WAN --> 80.23.4.2 >> >> - La WAN de ellos --> 80.23.4.3 >> >> - Gateway de la WAN proveedor --> 80.23.4.1 >> >> >> >> Pfsense sólo te deja definir una gateway por cada wan, esto es un >> >> problema puesto que queremos salir con el mismo gateway. >> >> >> >> Antes de postear, he ido probando cosas e inclusive he buscado en el >> >> foro de pfsense con "pfsense multiwan same gateway" pero de la parte de >> >> soporte de pfsense dicen que no se puede... >> > >> > (...) >> > >> > Eso es lo que comentan, pero también mencionan algo sobre un "doble NAT" >> > sobre la pasarela para conseguirlo. Aunque supongo que ya lo habrás >> > visto, te lo paso por si acaso: >> > >> > *** >> > Same gateway for two WAN interfaces (same isp) problem in pfsense 2.0 >> > http://forum.pfsense.org/index.php?topic=40400.0 >> > *** >> > >> >> Iba a responder el otro día, pero me contuve ya que parece ser que >> Maykel ya encontró una solución de su agrado. Pero viendo que no se >> entendió mi respuesta, procedo a explicarme. >> >> Lo que plantea Maykel SI se puede hacer con PFSense (o sea PF, packet >> filter) y con linux utilizando iptables+iproute2 ... Nada de dobles >> NATs ni cosas por el estilo (de hecho se utiliza una solo regla >> "mangle"). >> >> Ahora bien, lo que intenté hacer ver a Maykel el otro día (y no lo >> acabó de pillar me parece) es que a nivel práctico el problema que >> plantea no es tal, por el sencillo motivo de que no tiene mucho >> sentido: ¿para que quieres utilizar dos interfaces con >> direccionamiento del mismo segmento de red y mismo default gateway? >> respuesta simple: para nada. Otra cosa es que se quiera experimentar y >> trastear. >> >> y no tiene sentido por el mero hecho de ¿que es lo que gana: >> granulidad de administración, políticas de filtering adecuadas? No , >> nada de esto. Solo obtiene ventajas si utliza bonding ... y otro tema >> es cambiar un PFSense por un ClearOS, ni "jarto de cola-cao" :)) hago >> yo eso ... Pero para gustos los colores :)) Aunque existen razones de >> peso para utilizar PFSense por delante de un linux como firewall, >> empezando por el stack TCP/IP que implementan los BSD y acabando por >> la propia potencia de PF, en la que IPTables solo le supera en un >> punto técnicamente: Iptables puede utilizar todos los cores de un >> servidor equipado con procesadores multi-core, cosa que PF es uni-core >> ... Pero eso cambiará en el momento que sea liberada la versión >> estable de FreeBSD 10, en la que PF ya es multi-core. >> >> No sé si ahora me he conseguido explicar. >> >> Saludos. >> >> >> -- >> To UNSUBSCRIBE, email to [email protected] >> with a subject of "unsubscribe". Trouble? Contact >> [email protected] >> Archive: >> http://lists.debian.org/caejqa5kuljora8jkmiphbyjsgggpa0xsh+mlpeoeo9arbih...@mail.gmail.com >> > > Por lo que veo no te has enterado de nada o bien me explico fatal tio...y si > tengo 2 redes de 2 empresas y quiero salir por 2 ips publicas del mismo > rango, cada una la suya aunque sea: > > - empresa1 80.1.2.2 > - empresa2 80.1.2.3 > > Y quiero salir por su gateway 80.1.2.1. Tenemos un isp que nos proporciona > varias ips fijas del mismo rango, y tiene su gateway de toda la vida de > dios. Por motivod de que cada uno quiere salir por su ip fija, no queremos > salir a internet con la misma ip fija lo ves un "capricho" o un > testeo....creo que te equivoas y estas configuraciones las hemos tenido en > otro firewall. > > Si...me explico fatal...
Vuelvo a repetirlo: lo entendí perfectamente el otro día y lo vuelvo a entender ahora. Y te sigo diciendo que el planteamiento no tiene ningún sentido. Vamos a ver: ¿que sentido tiene que tu discrimes tráfico saliente generado en tus redes internas por una u otra interfaz? Ninguno, porque os estais "pisando" el ancho de banda los unos y los otros ... Ahora vamos con el tráfico entrante: empieza a tener sentido si disponeis de DMZs separadas y utilizais servicios distintos e IP's públicas distintas. Si uno de esos argumentos no sé dá, la implantación carece de base. ¿me voy explicando tio? Saludos. -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: http://lists.debian.org/caejqa5kjcu9h64xi4j9pdga_jwuqfsykbvq6k5snq1mrn23...@mail.gmail.com
