Шлюз без NAT'a

[allkex]

Доброго времени суток товарищи! Необходимо реализовать следующую задачу.. Есть 2 сервера.. в один входит интернет (PPPOE) и выходит локаль. Необходимо Сделать так что бы На втором сервере и в локале появился интернет, а так же что бы инет раздавался в локаль, но не чеерез 1й сервачок а через 2й.. в общем чтоб весь трафик проскакивал через 1й(шлюз) На второй сервер ну а дальше там его уже можно разрулить.. на данный момент пытаюсь настроить сетевой мост на 1м сервере. мост поднял но без НАТа не обходиться.. Пождскажите пожалуйста как правильно реализовать...

[fisher74]

А как Вы себе мост в этом случае представляете? Или у Вас есть второе подключение от провайдера?
Настраивайте отдельную межсерверную сетку (лучше VLAN-ами, но идеально отдельным проводом) и раздавайте интернет в локалку двойным NAT-ом.

Но что-то мне подсказывает, что Вы пытаетесь ректально ПЕРВИЧНУЮ задачу решить.

[allkex]

Да, задача действительно не простая. Пчоему хочу убрать NAT с шлюза?  потому что на шлюзе хочу поставить несколько фаерволов + IPS и дабы NAT не напрягал систему и ядро в частности (потому что постоянно сыплятся сетевые атаки а при NATинге сильно няпрягается проц и ядро системы.) хочу перенести его на второй сервак. Так же не совсем удобно работать с NATом потому как на 2м сервере крутятся разные сервера(програмки) а так же сайты.. все бы ничего Но что бы разместить эти проги и сайты  за НАТом нужно знать на каких портах это все дело работает и т.п. Сайты то лаждно.. с ними все нормально.. а вот остальные проги.. выяснять постоянно на самом деле не очень хочется потому и решаю именно такую задачу. и для ее решения пишу именно на этом форуме!:)

Как я представляю себе мост:
Вообще в сетевых технологиях я очень не сильно разбираюсь) поэтому мост для меня это просто обьединение указанных интерфейсов в ОДИН. но тогда сразу возникает вопрос.. вот я объединил все интерфейсы в один, присвоил этому мосту ИП адрес.. далее в локале пишу на какой нито машине шлюзом этот ИП адрес моста и.. увы не рботает инет.. считаю что это связанно с PPOE соединением которое выдает провайдер.. был бы просто физичиский интерейс через который льется инет вопросов, думаю, было б меньше...
А на данный момент вот такая ситуация. и что делать.. честно говоря мозг кипит.. но думаю на данном форуме найдутся знающие люди который дадут дельный и правильный совет!:)

[fisher74]

Задача "с тремя неизвестными". Если и решаема, то усилиями превышающими разумные.
Без NAT-а (для сервисов), Вы сможете решить ТОЛЬКО имея хотя бы ещё один адрес сети провайдера.
Для раздачи интернета в локальную сеть: либо NAT, либо прокси. Кстати, для выполнения именно этой задачи можно использовать и серый провайдерский адрес.

[allkex]

Как именно можно использовать "серый" провайдерский адрес и как этот адрес можно узнать? опишите пожалуйста немного подробнее... ну.. в теории конечно для начала..

[fisher74]

Не, ну можно и "белый", я же не знаю всю ситуацию. Просто есть провайдеры, которые предоставляют доступ через серые адреса дешевле. На такие адреса и сетевые атаки мало когда проходят.
Идея в том, чтобы распределить клиентскую нагрузку и нагрузку на сервер предоставляюший сервисы. То есть на "белом" адресе ресурсы системы можно использовать исключительно для них и их зашиты.

Но ещё раз - Вы выбрали ректальный путь.
Ставьте шлюз, и используйте NAT. Как вариант снижения нагрузки - SNAT вместо MASQUERADE (ведь у Вас статический адрес). Мне кажется Вы преувеличиваете нагрузку, создаваемую клиентами.

А порты для портфорварда на сервисы... это надуманная проблема. Просто Вы ещё не пробовали разорбраться с этим. Поиск портов сводится к одной команде на сервере, ну и некоторые знания как работатют стандартные протоколоы
Пользователь решил продолжить мысль 19 Февраля 2014, 11:01:52:Кроме того, можно тупо пробросить все порты на сервисный сервер. Сделать простейшую модель DMZ.

[Karl500]

пробросить все порты на сервисный сервер. Сделать простейшую модель DMZ.

Просто для полноты картины позволю себе уточнить: DMZ в общем случае не предполагает проброса всех портов внутрь зоны; DMZ предполагает запрет на доступ из зоны DMZ в локальную сеть.

[fisher74]

Само определение DMZ да, именно так. Прошу простить меня за столь похабное отнесение этого варианта к DMZ. Но были случаи, что производители хоумроутров, описанный мной "трюк" называли именно DMZ. ))

[allkex]

Я умею пользоваться натом только в пределах iptables фаервола.. насколько я знаю iptables может держать до 2000 хостов в провилах DROP'a то есть забаненых.. а ситуации у меня случаются ой какие разные.. и еще к выше напичсанному.. стандартные протоколы я знаю. многие из них и порты я их тоже знаю наизусть.. НО проблема то вся в том что сервисы, крутящиеся на 2м сервере за шлюзом как раз таки НЕСТАНДАРТНЫЕ. и по поводу DMZ... а нафигм не DMZ когда внешний канал просто тупо заткнут атакой и никто не сможет ходить в инет.. в общем вот как то так...

[fisher74]

А как же Вы защиту строите, если не знаете эти НЕСТАНДАРТНЫЕ ПОРТЫ?

[allkex]

нет. я немного не так выразился.. порты нестандартные то я знааю.. но там же иду еще куча всяких подключений которые идут не только по этим портам...ну допустим.. пошло соединение по порту 22 (ssh) обратное то соединение пойдет не по 22му а по какому то другому.. потому что 22й занят.. помоему так все описал..

[fisher74]

Как раз по 22, только он будет source port.
Сложные протоколы типа ftp опускаем из обсуждения, но там тоже можно предопределить source port

Видимо, Вы всё-таки не совсем правильно понимаете работы сервисов по портам.

[Tokuan]

Подпишусь. Стало любопытно чего хочет ТС.

[fisher74]

ТС, словно наивное дитя, думает, что если его ддосят и netfilter первого шлюза ушёл в полный блок, то находящийся с ним в мосту(мостЕ - х.з. как правильно по-русски) будет продолжать раздавать интернет клиентам по забитому каналу.

[allkex]

Стойте стойте стойте)) вы хотите сказать что, если кто то с одного ресурса, производит ДДОС атаку на второй удаленный ресурс то все? ресурс на который эта дос атака направлена умер?) И решением данной ситуации является только отключение от инета ресурса с которого производится ддос атака??)