| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
TechNoir
Зарегистрирован: 22.08.2003
Сообщения: 1632
Откуда: Moscou
|
 Добавлено: Сб Ноя 15 2003 22:28 Заголовок сообщения: NAT'ить или не NAT'ить? |
 |
|
Стоял роутер >
Внешний интерфейс с внешним IP
Три дополнительных интерфейса, смотрящих в сторону unreal- подсетей.
Три эти подсети NAT'ятся.
Изменение в конфигурации:
Появляется дополнительный интерфейс (подсеть), в которую роутится подсеть с real-адресами.
У меня вопрос такой:
В принципе можно пакеты из трех приватных подсетей не натить.
Но можно и натить.
А как по уму-то сделать?
Если не НАТить, то в логах серверов в реальной подсетке будут адреса отправителей из приватных подсетей.
Что мне кажется не очень цивильным.
Как сделать?
_________________
Vive la Russie! |
|
| Вернуться к началу |
|
 |
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Сб Ноя 15 2003 23:20 Заголовок сообщения: Уточнение (+) |
|
|
Т.е. интересует вопрос, надо ли проводить операцию NAT при обращении из приватных сетей в эту самую real ?
Думаю надо натить. Раз уж там реальные адреса, то пусть с ними и разбираются. Иначе возникнет путаница, если на компах в подсети real понадобиться делать какие-то индивидуальные настройки защиты. |
|
| Вернуться к началу |
|
|
TechNoir
Зарегистрирован: 22.08.2003
Сообщения: 1632
Откуда: Moscou
|
| Добавлено: Вс Ноя 16 2003 11:53 Заголовок сообщения: В общем я тоже так думаю (+) |
|
|
В общем случае я думаю чтобы меньше геммороя было нужно разделить функции на две машины.
Первая - просто маршрутизатор,через который роутится реальная подсеть.
Вторая - находящаяся в реальной подсети и вот на ней NAT-бы стоял (прокси).
Мне кажется что если все на одной машине, то очень легко ошибится прописывая правила FireWall.
Ты что думаешь по этому поводу?
_________________
Vive la Russie! |
|
| Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Вс Ноя 16 2003 16:26 Заголовок сообщения: Думаю, что не стоит городить две машины. Надо внимательно правила писать (-) |
|
|
| - |
|
| Вернуться к началу |
|
|
Dmitry.Karpov http://prof
Гость
|
| Добавлено: Вс Ноя 16 2003 22:54 Заголовок сообщения: Укажи NAT-программе, кого надо NATить, а кого пускать так. (-) |
|
|
| - |
|
| Вернуться к началу |
|
|
TechNoir
Зарегистрирован: 22.08.2003
Сообщения: 1632
Откуда: Moscou
|
| Добавлено: Пн Ноя 17 2003 19:28 Заголовок сообщения: Я NAT- программе это указал и она вроде натит, но... (+) |
|
|
Когда поднимаю NAT (У меня ipfw Unix FreeBSD)
я прописываю также NATD_INTERFACE полагая что это нужно для того, чтобы исходящим пакетам в качестве адреса источника прописывался именно IP-адрес NATD_INTERFACE'а, однако как я убедился это не так.
В сторону маршрутизируемой real-сети уходят пакеты именно с IP-адресом того интерфейса, который смотрит в сторону этой real-сети.
Зачем тогда задавать NATD_INTERFACE?
_________________
Vive la Russie! |
|
| Вернуться к началу |
|
|
Dmitry.Karpov http://prof
Гость
|
| Добавлено: Пн Ноя 17 2003 19:48 Заголовок сообщения: Чтобы указать, на каком интерфейсе NATить. Т.е. между остальными интерфейсами NAT не действует. |
|
|
| Допустим, у меня есть интерфейсы ed0, ed1 и ed2; natd_interface="ed0". Тогда между ed1 и ed2 пакеты будут ходить без подмены адресов. IMHO. |
|
| Вернуться к началу |
|
|
|
FAQ 
Поиск 
Пользователи 
Группы
Регистрация
Профиль 
Войти и проверить личные сообщения 
Вход 
