Slawa Olhovchenkov wrote: > On Tue, Feb 21, 2012 at 03:21:33PM +0400, Constantin Stefanov wrote: > >> Slawa Olhovchenkov wrote: >>> On Tue, Feb 21, 2012 at 02:29:09PM +0400, Constantin Stefanov wrote: >>> >>>> Slawa Olhovchenkov wrote: >>>>> On Tue, Feb 21, 2012 at 11:36:43AM +0400, Constantin Stefanov wrote: >>>>> >>>>>> Виталий Туровец wrote: >>>>>>> То ли лыжи не едут, то ли я... Ну ты понел(с). >>>>>>> Что тебе мешает разбить твою private /23 на две /24 (one per vlan), >>>>>>> создать оные сущности на гатавее с фрей и сделать что-типа >>>>>>> nat on $worldif from x.x.1.0/24 to any -> public_ip >>>>>>> Может, я ошибся, с работы внимательно осмотрю тред)) >>>>>> Я пока не понимаю, как их по vlan побить. Они в одном физическом >>>>>> проводе, это не изменить. >>>>> >>>>> а как ответы на отнатенные пакеты отправлять на тазик, если публичный >>>>> адрес единственный и на L3 свиче -- разобрался? >>>> Там единственный адрес, который из сети стыка с провайдером. А так есть >>>> еще сетка публичных адресов, и один из них выделен для nat, так что >>>> здесь вопросов нет. >>>> Так что я не могу поставить тазик "параллельно" со свитчом. А выделить >>>> адрес под нат - не вопрос. >>> >>> разумеется можешь, в один vlan публичный адрес, причем на линке можно >>> иметь приватные адреса, второй vlan -- LAN. а можно для >>> дополнительного контроля и второй valn отдельный, тоже с приватными >>> адресами (что бы мимо PBR на свиче никто не попал). > >> То есть ты предлагаешь один vlan-интерфейс nat box выставить в LAN, а >> другой - в стык с провайдером? А где я адрес возьму на тот, что в >> провайдера смотрит? Там в стыке сеть /31, один адрес на свитче, другой - >> на стороне провайдера. > > разве я написал так? нет, я написал так: заводишь еще два valn. > vlanInside 172.16.1.0/24 (на тазике 172.16.1.1/24) > vlanOutside 172.16.2.0/24 (на тазике 172.16.2.1/24) > > с L3 свича по роутингу (из интернета) NAT адрес отправляешь на > 172.16.2.1. с тазика дефолт смотрит на 172.16.2.2/24. роутиинг на LAN > -- на 172.16.1.2. PBR со свича кидает на 172.16.1.1. > > NAT натит c vlanInside на vlanOutside. > > все. >>> и пакет замечательно пойдет из LAN на свич, по PBR в vlan2, NAT, уйдет >>> по vlan1 и к провайдеру. в обратную сторону -- в обратном порядке. >> Ну опять PBR появляется. Какая разница-то? > > ну по твоим словам PBR полюбому, поскольку не все натишь. > смысл -- что бы у NAT было два интерфейса для работы. Ну то есть с моей схемой разница только в том, что искусственно появляется пара интерфейсов (внутренний и внешний), на которых работает NAT, а все остальные элементы конструкции практически те же.
Может, так правила ipfw будут чуть прозрачнее, но больших выгод я, если честно, не вижу. NAT все равно работает, только у него входящий и выходящий интерфейсы одни и те же. Если б так от PBR можно было на выходе избавиться, тогда да, а так - какой смысл? Хотя не исключаю, что я чего-то не замечаю. -- Константин Стефанов Я фуфло, а он Белинский, весь неистовый такой.
