Внешние ай-пи адреса в сети

[torpeda-club]

Здраствуйте
Есть сеть:

(Нажмите, чтобы показать/скрыть)

провайдер -> админкомп/шлюз (Ubuntu 10.10);
шлюз -> свитч - > клиенты (Ubuntu 10.10 / Win7,XP)              

Инэт раздаётся по лок сети с помощью NAT и iptables.
Одному из клиентов необходимо наличие собственного
внешнего ip. Можно ли это сделать? Если да, то как?
Сейчас во всей сети, естессьна, внешний адрес один.
Как быть?
Спасибо.

Пользователь решил продолжить мысль [time]Mon Jul  4 18:09:19 2011[/time]:

(Нажмите, чтобы показать/скрыть)

[censor]

на инет интерфейсе на шлюзе поднять альяс, весь трафик приходящий на новый интерфейс перенаправлять на комп в локальной сети.
читайте туториал по iptables там вроде был подобный пример.

[Гарри Кашпировский]

Одному из клиентов необходимо наличие собственного
внешнего ip. Можно ли это сделать? Если да, то как?
Сейчас во всей сети, естессьна, внешний адрес один.
Как быть?
Спасибо.

Стоит добавить, что если клиенту нужен именно внешник на интерфейсе и никак иначе, то придётся этот вопрос порешать с провайдером, что бы он смаршрутизировал хотя бы /30 подсеть на тебя. Иначе см. пост 2. в части DNAT и SNAT.

[torpeda-club]

а не встречались факи или хауту или т.п. на эту тему ?
с этой темой сталкиваться ранее не приходилось, а нужно
Для более полной картины попробую обрисовать карту части сети:

(Нажмите, чтобы показать/скрыть)

Внешний айпи просят сделать на роутер арендующий. Клиентами роутера являются несколько
компов и одна камера, ради которой весь геморой. Хотят получить возможность
удаленного видеонаблюдения за производственным процессом. Может есть альтернативные способы?

[censor]

вынести камеру в dmz на втором роутере, на верхнем роутере пробросить нужный порт на камеру.

[torpeda-club]

censor, дорогой, будь добр, расскажи по-подробнее как это реализовать

[censor]

смотри настройки роутера как у него хосты в dmz выносятся, универсального рецепта нет.
на верхнем роутере потребуется, если не включено - включить форвардинг
echo "net.ipv4.conf.all.forwarding = 1" | sudo tee -a /etc/sysctl.conf; sudo sysctl -p
sudo iptables -t nat -A PREROUTING -i $WAN_IFACE -p tcp --dport $WAN_DST_PORT -j DNAT --to-destination $LAN_HOST:$LAN_DST_PORT
sudo iptables -t filter -P FORWARD DROP
sudo iptables -t filter -A FORWARD -m conntrack --ctstate DNAT -j ACCEPT

вот как-то так примерно

[torpeda-club]

тот роутер, что 192.168.1.1 он ваще не при чём - он у нас в кафе стоит, вайфай тупо раздает
шлюз - админ комп у нас в кафе; все "синие" - все у нас в кафе.

а вот "рыжий" роутер подключен к нашей сети через десятки метров и пару/тройку свитчей.
это знакомые на производстве узнали что мы провели себе нормальный канал, попросили
провести им (часть абонентской платят), поставили этот "рыжий" роутер дилинк, к нему
подключили 3 компа и камеру, к которой они и пытаются настроить удалённое подключение.
извиняюсь за "красноречие"
Пользователь решил продолжить мысль 05 Июля 2011, 23:39:31:с картой сети я конечно поспешил =)
так наверное будет по-точнее:

(Нажмите, чтобы показать/скрыть)

[drako]

Дык, в чем проблема-то?.. Берете у прова внешний ip и делаете snat+dnat на ip длинка.

[torpeda-club]

расскажите пожалуйста по-подробнее как это можно сделать
очень срочно надо

[drako]

Поскольку интерфейсы кто куда смотрит не известны нам, то я буду исходить из того что eth0 смотрит в сеть, а eth1 в инет.
/etc/network/interfaces:

Код: [Выделить]

auto lo eth0 eth1 eth1:1
iface lo inet loopback
iface eth0 inet static
....
iface eth1 inet static
address $inet_addr_1
mask ...
gateway ...
iface eth1:1 inet static
address inet_addr_2
mask ...
правила:

Код: [Выделить]

iptables -t nat -A PREROUTING -d $inet_addr_2 -j DNAT --to-destination $dlink_ip
iptables -t nat -A POSTROUTING -s dlink_ip -j SNAT --to-source $inet_addr_2правила для mangle FORWARD сами сообразите в зависимости от остальный настроек

где:
$inet_addr_1 - ваш внешний адрес
$inet_addr_2 - внешний адрес для ваших соседей
$dlink_ip - адрес длинка в вашей сети.

правило snat для длинка должно быть впереди вашего, а еще лучше вынести длинк в отдельную подсеть.

[SkyFox]

А не проще просто порт пробросить? Portmapping :

http://external_real_ip:8081 --->>> d-link:8082 --->> IPcamera:80 or 8080

Или что то ещё надо от той внутренней сети?