Виталий Туровец wrote: > Ты избавляешься от PBR. > На свиче ты добавляешь !!!default!!! route в сторону PC. на PC же - > статик твоей сетки реальников в сторону свича. > И в правилах !файрвола! на !pc! указываешь, кого нужно натить и куда. Это в твоей схеме можно избавиться от PBR, в Славиной он никуда не девается.
Наверное, так тоже можно. Но пока PBR мне не мешает, железку не перегружает, мне хотелось бы по максимуму работы оставить на свитче. Собственно, до этого свитча там и был PC-роутер. Хочется задействовать возможности железки, уж коли она есть. > > 21 февраля 2012 г. 13:39 пользователь Constantin Stefanov > <[email protected]> написал: >> Slawa Olhovchenkov wrote: >>> On Tue, Feb 21, 2012 at 03:21:33PM +0400, Constantin Stefanov wrote: >>> >>>> Slawa Olhovchenkov wrote: >>>>> On Tue, Feb 21, 2012 at 02:29:09PM +0400, Constantin Stefanov wrote: >>>>> >>>>>> Slawa Olhovchenkov wrote: >>>>>>> On Tue, Feb 21, 2012 at 11:36:43AM +0400, Constantin Stefanov wrote: >>>>>>> >>>>>>>> Виталий Туровец wrote: >>>>>>>>> То ли лыжи не едут, то ли я... Ну ты понел(с). >>>>>>>>> Что тебе мешает разбить твою private /23 на две /24 (one per vlan), >>>>>>>>> создать оные сущности на гатавее с фрей и сделать что-типа >>>>>>>>> nat on $worldif from x.x.1.0/24 to any -> public_ip >>>>>>>>> Может, я ошибся, с работы внимательно осмотрю тред)) >>>>>>>> Я пока не понимаю, как их по vlan побить. Они в одном физическом >>>>>>>> проводе, это не изменить. >>>>>>> >>>>>>> а как ответы на отнатенные пакеты отправлять на тазик, если публичный >>>>>>> адрес единственный и на L3 свиче -- разобрался? >>>>>> Там единственный адрес, который из сети стыка с провайдером. А так есть >>>>>> еще сетка публичных адресов, и один из них выделен для nat, так что >>>>>> здесь вопросов нет. >>>>>> Так что я не могу поставить тазик "параллельно" со свитчом. А выделить >>>>>> адрес под нат - не вопрос. >>>>> >>>>> разумеется можешь, в один vlan публичный адрес, причем на линке можно >>>>> иметь приватные адреса, второй vlan -- LAN. а можно для >>>>> дополнительного контроля и второй valn отдельный, тоже с приватными >>>>> адресами (что бы мимо PBR на свиче никто не попал). >>> >>>> То есть ты предлагаешь один vlan-интерфейс nat box выставить в LAN, а >>>> другой - в стык с провайдером? А где я адрес возьму на тот, что в >>>> провайдера смотрит? Там в стыке сеть /31, один адрес на свитче, другой - >>>> на стороне провайдера. >>> >>> разве я написал так? нет, я написал так: заводишь еще два valn. >>> vlanInside 172.16.1.0/24 (на тазике 172.16.1.1/24) >>> vlanOutside 172.16.2.0/24 (на тазике 172.16.2.1/24) >>> >>> с L3 свича по роутингу (из интернета) NAT адрес отправляешь на >>> 172.16.2.1. с тазика дефолт смотрит на 172.16.2.2/24. роутиинг на LAN >>> -- на 172.16.1.2. PBR со свича кидает на 172.16.1.1. >>> >>> NAT натит c vlanInside на vlanOutside. >>> >>> все. >>>>> и пакет замечательно пойдет из LAN на свич, по PBR в vlan2, NAT, уйдет >>>>> по vlan1 и к провайдеру. в обратную сторону -- в обратном порядке. >>>> Ну опять PBR появляется. Какая разница-то? >>> >>> ну по твоим словам PBR полюбому, поскольку не все натишь. >>> смысл -- что бы у NAT было два интерфейса для работы. >> Ну то есть с моей схемой разница только в том, что искусственно >> появляется пара интерфейсов (внутренний и внешний), на которых работает >> NAT, а все остальные элементы конструкции практически те же. >> >> Может, так правила ipfw будут чуть прозрачнее, но больших выгод я, если >> честно, не вижу. NAT все равно работает, только у него входящий и >> выходящий интерфейсы одни и те же. Если б так от PBR можно было на >> выходе избавиться, тогда да, а так - какой смысл? Хотя не исключаю, что >> я чего-то не замечаю. >> >> -- >> Константин Стефанов >> >> Я фуфло, а он Белинский, весь неистовый такой. > > > -- Константин Стефанов Не кантовать, не гегелить.
