Выделенный Ip внутри локалки

[lastelf]

Добрый день.Прошу помощи у Linux гуру) Есть сервер под Ubuntu 10.04 Инет раздает в локальную сеть IPTABLES + NAT. Нужно прокинуть реальные (внешние) ip-адреса в локальную сеть. Инет получаю таким образом - на сетевом интерфейсе просто прописан внешний айпи. Провайдер выделил подсеть "ip /29". Как сделать так, чтоб пользователи в локальной сети могли прописать инетовский айпи у себя и работать в инете?

Вариант с DNAT + SNAT не оч устраивает.....

Заранее спасибо.

[Mam(O)n]

Ща мне nbn разродится /29 подсетью, будем вместе мучать ))

кмк, нужно просто прописать маршрут к этой самой /29 подсети через интерфейс локалки, и компам внутри раздать адреса. И сответственно для них отключить NAT.

[Vovanys]

VLAN-ы сделай, либо через свич 

[lastelf]

Vlan-ы уже подняты, просто не могу разобраться как это все реализовать........ Начал настраивать через  Shorewall Firewall в webmin-e и окончательно запутался.........(

[AnrDaemon]

Ибо нефиг.
Пока с iptables не на "ты, козёл", про настройку их из вебмина забудь. Только голову сломаешь.

[Гарри Кашпировский]

Не очень понял причем тут iptables. Ах ну да, жаба - хочется все восемь заюзать ))
Я сделал это так (без виланов):
ppp0 - динамика
eth0 - локалка прова, серый адрес
eth1 (или вилан, не важно) - первый адрес
Убрал NAT
Сделал ip r d default dev ppp0; ip r a default dev ppp0 src твой_реальник_на_eth1(вилане)
Ограничил доступ по самбе кроме своей подсети.
Profit.

Пользователь решил продолжить мысль 04 Октября 2010, 13:55:44:PS там мучать нечего. Элементарщина.

[lastelf]

 А не подскажите как правильно обойти нат для тогда.
Допустим провайдер выделил адрес 85.114.x.x под которым натятся клиенты, и выделил ip  из другой подсети 217.79.x.x, который нужно пробросить во внутрянку.
Для клиентов прописаны следующие правила :
$IPTABLES -t nat -A POSTROUTING -o $IF_INTERNET -j MASQUERADE
$IPTABLES -A FORWARD -i $LOCAL -o $IF_INTERNET -s 192.168.0.0/255.255.0.0 -j ACCEPT
$IPTABLES -A FORWARD -i $IF_INTERNET -o $LOCAL -d 192.168.0.0/255.255.0.0 -m state --state RELATED,ESTABLISHED -j ACCEPT
на внешней сетевой алиасом прописан новый выделенный ip.
PS: Заранее прошу прощения за нубские вопросы.

[Гарри Кашпировский]

Алиас убрать.
Записать
Внешняя сетевая eth0 - 85.114.x.x
Внутренняя сетевая - eth1 217.79.x.A .Про то что у сети есть её адрес и маска, надеюсь объяснять не нужно?
Клиентам отдавать 217.79.x.B-F c шлюзом 217.79.x.A
PS Провайдер просто маршрутизирует твою 29-ю сеть на твой интерфейс 85.114.x.x
Пользователь решил продолжить мысль 04 Октября 2010, 14:47:53:ЗЫ Ну если хочеться и серую сеть и белую, Вам  виланы в помощь с умным свитчем.

[lastelf]

Спасиб за совет) т.е.в случае с виланами нужно просто отключить nat на интерфейсы с выделенными ip ?

[Гарри Кашпировский]

Какая разница виланы там или не виланы.
NAT для рельников не нужен - это же матчасть

[lastelf]

Так смысл в том что серая подседка тоже нужна(
Причем проблема еще в том, что как только я его отключаю, связь наружу пропадает....

[Гарри Кашпировский]

Хехе, а это уже другая история. =)
В общем создай новую тему, опиши ситуёвину, что мол есть такое дело - одним клиентам нужно отдать реальники - другим серые адреса, сетвуха мол в сеть смотрит одна, Озвучь свое оборудование, свитчи какие используешь. Ну если не трудно будет займись немножко живописью, нарисуй схему
Народ в помощи не откажет.
А мусолить двадцать вопросов в одном треде - это в разговоры обо всём (тема про фирефохэ )
И я как бэ уже намекал что для этого нужно

Ну если хочеться и серую сеть и белую, Вам  виланы в помощь с умным свитчем.

[Mam(O)n]

Вот и мне nbn тока что разродился /29 подсетью. Я сейчас сделал так. В наличии у меня роутер asus wl500gPremium с одной общеизвестной прошивкой. На нем настроен нат и всё такое по стандартной схеме с иптаблесами.

Не долго думая на нем я просто добавил маршрут

Код: [Выделить]

route add -net 213.141.128.24/29 dev br0
br0 это у меня интерфейс, который смотрит в локальную сетку, а 213.141.128.24/29 это подсеть, которую мне делегировал провайдер

Подправил правила FORWARD в iptables (нужно в случае, если FORWARD закрыт)

Код: [Выделить]

iptables -A FORWARD -s 213.141.128.24/29 -i br0 -o ppp0 -j ACCEPT
iptables -A FORWARD -d 213.141.128.24/29 -i ppp0 -o br0 -j ACCEPT
где ppp0 это интерфейс, на который приходит провайдерский трафик.

Сменил правило маскардинга на такое:

Код: [Выделить]

iptables -t nat -A POSTROUTING -o ppp0 ! -s 213.141.128.24/29 -j MASQUERADE

А на комапх в локалке просто добавил реальные адреса как алиасы к уже имеющимя серым адресам.

Код: [Выделить]

ifconfig eth0:connect 213.141.128.24 netmask 255.255.255.255 broadcast 255.255.255.255
...
ifconfig eth0:connect 213.141.128.31 netmask 255.255.255.255 broadcast 255.255.255.255

и у меня теперь бегает и по серой схеме и по белой одновременно.
Пользователь решил продолжить мысль 04 Октября 2010, 16:21:02:Кстати, а кто может мне объяснить, а зачем vlan'ы тут городить?

[Гарри Кашпировский]

Можем.
Виланы нужны для того, что бы сделать сеть как сеть, а не ту порнографию, что у тебя.
Пользователь решил продолжить мысль 04 Октября 2010, 16:29:49:И да, раздай это все по DHCP.

[Mam(O)n]

В чем заключается порнография и чем vlan поможет сделать это лучше обычной маршрутизации?