Subnets.ru

[slb51]

Это я уже понял, но я не имею возможности прописать что-либо на интерфейсе маршрутизатора, через который подключаюсь к внешней сети.
Ситуация такая. Есть корпоративная сеть. Мне выделен диапазон адресов (допустим 10.20.60.0/24). Установлен телекоммуникационный узел в составе маршрутизатора, коммутатора и ADSL-модема. Ко всему этому у меня доступа нет. Мне указан только шлюз (10.20.60.1). Я хочу поставить между этим шлюзом и локалкой Firewall и Proxy, в основном, чтобы регулировать доступ во внешнюю сеть своих пользователей, ну и для всего прочего, что делают Firewall и Proxy. При этом возникла выше описанная проблема с маршрутизацией. Однак, если использовать на FreeBSD только одну сетевуху с IP-адресом 10.20.60.10, то через неё маршрутизация получается. Соответственно, на Фре шлюзом прописан 10.20.60.1, а на машинах в локалке - 10.20.60.10. Но теперь запутался с настройками ipfw, что куда пропускать, а что нет. Сеть-то как бы одна. И ещё попутный вопрос. А можно ли настроить FreeBSD так, чтобы она давала доступ или запрещала его группам пользователе или группам компьютеров, прописанным в AD виндового домена?

[lehisnoe]

Сеть-то как бы одна.

Позволю себе дать пару советов:
1. В обязательном порядке нужно изолировать внутреннюю локалку (хотя бы из соображений безопасности).
2. В твоем случае, помимо перевода твоей локалки на адреса из диапазона, отличного от 10.20.60.0/24, следует еще поднять и службу NAT.

И ещё попутный вопрос. А можно ли настроить FreeBSD так, чтобы она давала доступ или запрещала его группам пользователе или группам компьютеров, прописанным в AD виндового домена?

Если идет речь о http-трафике, то AFAIK, у squid есть возможность работы с ntlm аутентификацией в Windows AD.

[slb51]

Большое спасибо, господа! Всё работает как надо. В смысле, маршрутизация на двух сетевухах выполняется. Советы ваши очень помогли понять суть проблемы. Хотя вопросов ещё море. Например, почему ядро не компилируется с опциями DUMMYNET, HZ-dummynet, TCP_DROP_SYNFIN, ICMP_BANDLIM и BRIDGE? Без них жить можно, но почему не компилируется? Может они завязаны на другие опции, которые я выкинул по незнанию? Фря версии 8.0 Beta2, но и на 7.2 та же история. Из ядра я выбросил всё не нужное для фойервола, на мой взгляд, по максимуму. Включил в ядро IPFIREWALL, IPFIREWALL_VERBOSE, IPFIREWALL_VERBOSE_LIMIT=10, IPDIVERT, IPFIREWALL_FORWARD, IPFILTER.

[root]

Например, почему ядро не компилируется

это уже другая история, которая не относится к маршрутизации
соотвественно лучше создать новую тему в соответствующем разделе

не все опции ядра будут компилироваться в разных версиях FreeBSD
сказать что нить не видя ошибки, которую фря выдает при компиле не возможно
так же ты не написал как именно ты компилишь ядро, т.к. это сделать можно несколькими способами

у меня FreeBSD 7.2-RELEASE-p2:

Код: Выделить всё

options         IPFIREWALL
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_FORWARD
options         IPFIREWALL_VERBOSE_LIMIT=1000
options         IPFIREWALL_DEFAULT_TO_ACCEPT
options         IPDIVERT
options         IPFILTER
options         IPFILTER_LOG
options         IPSTEALTH
options         DUMMYNET

[slb51]

Да я и делал несколькими способами. Но в основном: "make buildkernel KERNCONF=NEWKERNEL" из директории "/usr/src/sys/i386/conf/".
А тема, я думаю, всё-таки имеет отношение к маршрутизации, т.к. с подключения этих опций всё и начинается.
Текст ошибки на память не скажу, но при очередной попытке перепишу непименно. А опции такие же.

[root]

я думаю, всё-таки имеет отношение к маршрутизации

это имеет отношение к firewall`у роутинг тут точно не причем

[slb51]

Понятно, я уже перекинул вопрос в тему "Компиляция ядра". Просто для меня это вопрос комплексный. Как раз и нужен firewall, а потом ещё и proxy.

[Андрей]

А у меня новый вопрос.
Хотя я его может и задавал.
К примеру имеем машину с гигом оперативки, SCSI-диском на 36 ГБ и процессором на 540 Мгц, ну и 2 интегрированные серверные сетевые карты.
Вопрос.
На какой Выдержит ли нат сей девайс?
Если да, то на сколько клиентов/шируину канала максимум?
(количество пакетов в секунду учитывать пока не будем)
Заранее благодарен за ответ.

ЗЫ. Машина будет использоваться как сервер доступа. В качестве ПО будет использоваться MPD5, настроенная как сервер l2tp. Статистика о трафике будет кидаться на биллинг.

[lehisnoe]

К примеру имеем машину с гигом оперативки, SCSI-диском на 36 ГБ и процессором на 540 Мгц, ну и 2 интегрированные серверные сетевые карты.

Бедный SunFire v100 от 2006 года

Вопрос.
На какой Выдержит ли нат сей девайс?

Вопрос не очевиден...

Если да, то на сколько клиентов/шируину канала максимум?
(количество пакетов в секунду учитывать пока не будем)

А вот это как раз зависит от кол-ва пакетов: есть разница в нагрузке на камень при нате торрентщика и обычного браузерщика (при этом они могут потреблять трафик на одинаковой скорости) ...

[Андрей]

Бедный SunFire v100 от 2006 года

всетаки перечитал форум. Я уже сам не помню где это задавал.

А вот это как раз зависит от кол-ва пакетов: есть разница в нагрузке на камень при нате торрентщика и обычного браузерщика (при этом они могут потреблять трафик на одинаковой скорости) ...

А среднестатистические данные можете привести?
К примеру, на сколько грузит проц 10 торрентщиков качающих одновременно на скорости 1 мбит/с?

Заранее благодарен.

ЗЫ. ИМХО, девайс не справится, т.к. ему помимо роли сервера доступа надо будет еще считать трафик и скидывать эту инфу на биллинг, а это уже проблемно для него будет.