|
Автор |
Сообщение |
c01nd01r
Зарегистрирован: 19.03.2011 Сообщения: 2 Откуда: Россия
|
|
|
|
Доброго времени суток!
Подскажите пожалуйста новичку в нескольких вопросах.
Допустим есть два отдела в фирме, в каждом 7 юзер.машин.
1) Логично было бы соединить по 7 машин в два коммутатора и от коммутаторов подвести в один маршрутизатор ( c функ. ADSL модема)?
2)Кабеля от коммутаторов до роутера можно назвать "магистральными"?
3)Если нет необходимости в лимитировании трафика, контроля за сайтами и прочее , т.е. необходима простая раздача интернета на две сети, достаточно ли оборудования описанного в схеме?
4)Если есть необходимость в лимитировании трафика, контроля за сайтами и прочее, нужно ставить ADSL модем -> ( Шлюз (iptables?) + сервисы + две сетевые карты ) - > коммутатор -> локальные сети?
#########################################################
5)Есть ли смысл пользоваться маршрутизацией route, если можно пакеты отправлять в нужные сети с помощью iptables? Буду рад примерам, где логичнее/экономичнее было бы воспользоваться добавлением маршрута route add, вместо iptables.
6)ИМХО:
На шлюзе интерфейс ppp0 подлючен к инету, eth0 идет к ноутбуку.
Как я понимаю, для раздачи интернета на ноут, необходимо на шлюзе включить ip_forwarding, для etho назначить локальный ip /маску сети, адрес шлюза указать 0.0.0.0
На ноуте указать локальный ip/маску сети и локальный ip адрес шлюза.
Как я думаю, ноут должен слушать шлюз? При данной настройке будет ли доступ в интернет для приложений шлюза?
з.ы. использование iptables в вопросе (6) не рассматриваю специально, что б разобраться с маршрутизацией.
Верни ли мои мысли?
Спасибо!
з.ы.ы. Денис, спасибо за книгу "Самоучитель системного администратора Linux"! Заказывал на комбук.ру.
з.ы.ы.ы. Давно не видел нормальной читабельной капчи и отсутствия подтверждения email при регистрации) |
|
Вернуться к началу |
|
|
Konstantin
Завсегдатай
Зарегистрирован: 01.05.2006 Сообщения: 615
|
|
|
|
Сначала отвечу по пунктам.
Цитата: |
1) Логично было бы соединить по 7 машин в два коммутатора и от коммутаторов подвести в один маршрутизатор ( c функ. ADSL модема)?
|
Можно использовать один управляемый коммутатор с 16 портами минимум. Для каждой сети из 7 машин делаем свой vlan.
Цитата: |
2)Кабеля от коммутаторов до роутера можно назвать "магистральными"?
|
Порт на коммутаторе, подключенный к роутеру, в котором будут ходить в данном случае 2 влана, будет называться транковым.
Цитата: |
3)Если нет необходимости в лимитировании трафика, контроля за сайтами и прочее , т.е. необходима простая раздача интернета на две сети, достаточно ли оборудования описанного в схеме?
|
Достаточно, если роутер поддерживает vlanы и ADSL
Цитата: |
4)Если есть необходимость в лимитировании трафика, контроля за сайтами и прочее, нужно ставить ADSL модем -> ( Шлюз (iptables?) + сервисы + две сетевые карты ) - > коммутатор -> локальные сети?
|
Есть аппаратные роутеры с функцией ADSL, которые могут и трафик лимитировать. Доступ к разным неприятным сайтам можно ограничить через специальные бесплатные веб-сервисы. Если надо делать детализацию трафа, более точный вебгард, то лучше поставить роутер на Unix-like.
Цитата: |
5)Есть ли смысл пользоваться маршрутизацией route, если можно пакеты отправлять в нужные сети с помощью iptables? Буду рад примерам, где логичнее/экономичнее было бы воспользоваться добавлением маршрута route add, вместо iptables.
|
команды route и iptables могут менять таблицу маршрутизации. Iptables более функциональна, так как еще может работать и с портами src и dst. В Linux
для серьезных задач СТАТИЧЕСКОЙ маршрутизации используется спарка команд пакетов iproute2 и netfilter. iptables - одна из команд пакета netfilter.
Цитата: |
6)ИМХО:
На шлюзе интерфейс ppp0 подлючен к инету, eth0 идет к ноутбуку.
Как я понимаю, для раздачи интернета на ноут, необходимо на шлюзе включить ip_forwarding, для etho назначить локальный ip /маску сети, адрес шлюза указать 0.0.0.0
На ноуте указать локальный ip/маску сети и локальный ip адрес шлюза.
Как я думаю, ноут должен слушать шлюз? При данной настройке будет ли доступ в интернет для приложений шлюза?
|
На шлюзе, если есть более 1 задействованного интерфейса при подключении нескольких сетей, ip_forwarding включается всегда. Для раздачи интернета на шлюзе должен быть так же настроен NAT ( в твоем случае для eth0 на ppp0).
В твоей задаче ноут подключен на eth0. Ноут и eth0 должны быть в одной локальной подсети. Если на ноуте открыты какие-либо порты, то он будет слушать что-угодно. Локальные сети защищаются файрволом на роутере.
На шлюзе надо дать команду под рутом
route -n
вывод последней строки должен быть типа такого
0.0.0.0 x.x.x.x 0.0.0.0 UG 35 0 0 ppp0
x.x.x.x - это адрес ppp0, полученный шлюзом от прова.
Это означает, что твой default gateway на шлюзе x.x.x.x
То есть со всеми сетями, о которых не знает твой шлюз при обращении к ним, шлюз сам не разбирается, а отдает это на откуп default gateway.
Просмотр настройки NAT
Делаем под рутом
iptables-save | less
Ищем глазами фразу *nat, а потом типа такого
*nat
:PREROUTING ACCEPT [139:30837]
:POSTROUTING ACCEPT [2184:132744]
:OUTPUT ACCEPT [2184:132744]
:ppp0_masq - [0:0]
-A POSTROUTING -o ppp0 -j ppp0_masq
-A ppp0_masq -s 192.168.1.0/24 -j MASQUERADE
У меня это означает, что в таблице NAT цепочка POSTROUTING для интерфейса
ppp0 обрабатывается пользовательской цепочкой ppp0_masq, которая в свою очередь подменяет запросы наружу из локальной сети 192.168.1.0/24 так, что якобы они идут с адреса ppp0. У меня netfilter настроен как зоновой файер, где пакеты каждой подсети обрабатываются своей пользовательской подсетевой цепочкой во всех таблицах. |
|
Вернуться к началу |
|
|
c01nd01r
Зарегистрирован: 19.03.2011 Сообщения: 2 Откуда: Россия
|
|
|
|
Ооо... спасибо большое!!!
Честно говоря даже не знал, что существуют умные коммутаторы... и узнал о vlan.
Отдельное спасибо за NAT! |
|
Вернуться к началу |
|
|
den
Старожил
Зарегистрирован: 31.01.2006 Сообщения: 13870 Откуда: Кировоград, Украина
|
|
Вернуться к началу |
dhsilabs@jabber.ru |
|
|
|
|
 Главная страница сайта
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете голосовать в опросах
|
|