Subnets.ru

[Андрей]

на гейты у меня используется для выхода в инет.
В сети 192.168.1.0/24 стоит модем с ip 192.168.1.1
В сети 10.10.0.0/16 сервер доступа с ip 10.10.0.2

Что получается в настройках сетевой карты: Пакет из сети 192.168.1.0/24 выйдет в сеть 10.10.0.0/16, только на условии того, что будет выход на сетевую карту из сети 10.10.0.0/16.
Как пакет найдет сеть 10.10.0.0/16 в сети 192.168.1.0/24 без малейшего упоминания о сети 10.10.0.0/16 - мне не понятно.

Нарисую на "пальцах"

клиентский ip 192.168.1.3 посылает пакет на ip 10.10.1.5.
вот схема (естественно предполагаемая мной НО(!) рабочая):

192.168.1.3 -> 192.168.1.199 -> 10.10.10.2 -> 10.10.1.5

именно так пакет и будет идти.
и именно по этому гейтом для сетевой карты 192.168.1.199 выступает сетевая карта 10.10.10.2
Не веришь - приложу скрины с 3х компов.
Не поверишь скринам - подними то, что я написал в одном из постов и убедись. Я говорю что это работает. И из сети 10.10.0.0/16 машину 192.168.1.3 не видно. Машина 10.10.1.5 будет думать что ей пришел пакет от 10.10.10.2 но не более, хотя этот пакет ей пришел от 192.168.1.3

[root]

ты не ответил на мой вопрос:

в каком случае комп отправляет пакет на GW ?

не в твоей ситуации, не в чьей нибудь, а в любой, т.е. по теории. В каком случае комп решит, что нужно слать пакет на GW ?

[Андрей]

в каком случае комп отправляет пакет на GW ?

Извиняюсь. Я так думаю, что только в том случае если через этот gw возможен в другую подсеть?

Пойми, я понимаю для чего gw. Я понимаю, что комп стоит в 2х сетях. Но при попытке прописать у клиента в качестве шлюза адрес сетевой карты винда говорит чтоб я шел лесом. Пинги в другую подсеть не проходят.

[lehisnoe]

в каком случае комп отправляет пакет на GW ?

Извиняюсь. Я так думаю, что только в том случае если через этот gw возможен в другую подсеть?

Неправильный ответ. На default gw пакет уходит только в том случае, когда комп "не знает", куда его можно отправить: т.е. пакет не предназначен для получателя в локальной сети либо в сетях, до которых прописан роутинг. И вот в этом-то случае пакет и посылается по последнему маршруту - маршруту по умолчанию (если таковой, конечно, прописан).

[Андрей]

Ну теперь я понял для чего gw.
Объясните что поднять надо на машине, чтобы сеть конторы не было видно из другой сети?

[lehisnoe]

Объясните что поднять надо на машине, чтобы сеть конторы не было видно из другой сети?

Если на машине одна сетевуха и нет vlan'ов, то ничто не поможет
Если же на машине больше одной сетевухи и сеть конторы у тебя живет в собственной сетевухе, то спасет тебя фаервол: запрети обращения к сети конторы из других подсетей и все.

[Андрей]

Я так и понял.
Устанавливаю фаер. Потом все запросы из вне конторской сети запрещу.

[Андрей]

Раз уж речь зашла о файрволле.
В хэндбуке сказано, что файл pf.conf_old сам должен появиться.
Пересобрал ядро с необходимыми параметрами. Файл не появился.
Не придется ди создавать его вручную?

[mr_A3ap41k]

Создать самому. Мануал http://www.openbsd.org/faq/pf/.

[root]

рекомендую начать с IPFW
как мне кажется он проще для понимания чем PF, но это мое ИМХО