Цитата:
То на Рабочую станцию из интернета не заходит.Фаервол или антивирус на рабочуй станциии
» NAT: общие вопросы по настройке + список тем по NAT + ссылки
Цитата:
...[удалено]...
Чет я совсем запутался!
Ядро для NAT пересобрано, НАТ работает, но вот почему он работает - не пойму!
в fw.sh (такой файл у меня для запуска правил IPFW)
в нем щас одна строка allow all from any to any
никаких divert nat нету.
НАТ работает и SQUID работает для юзеров! КАК ?
Ядро для NAT пересобрано, НАТ работает, но вот почему он работает - не пойму!
в fw.sh (такой файл у меня для запуска правил IPFW)
в нем щас одна строка allow all from any to any
никаких divert nat нету.
НАТ работает и SQUID работает для юзеров! КАК ?
Подскажите как настроить NAT на 3 сетевухи? Есть, которая принимает интернет, есть, которая выдаёт его в локалку. Сдесь же стоит Traffic Inspector. Нужно сделать так, чтобы через 3тью сетевуху можно было подключить роутер, и настроить его на раздачу только интернета без сети. Как это можно реализовать.
User1435
Здравствуйте, оч приятно познакомится с человеком верующим в телепатию да еще и на неограниченном расстоянии...
Скажите хоть что за система стоит? Как сейчас локалка получает интернет?
Здравствуйте, оч приятно познакомится с человеком верующим в телепатию да еще и на неограниченном расстоянии...
Скажите хоть что за система стоит? Как сейчас локалка получает интернет?
Одна сетевая карта по настроена по IP и шлюзу, которые выдал провайдер. Затем на Win2003 настроен NAT. Со второй сетевой с настройками: IP 192.168.1.200 маска 255.255.255.0 инет идёт в локалку (в свитч). 3я сетевая настроена 192.168.192.200 маска 255.250.255.0 В IP маршрутизация первое и второе сетевое подключение отображаются. В Свойствах у обоих Частный интерфейс, подключен к частной сети. В свойствах соединения от провайдера WAN Общий интрефейс, подключен к интернету. Настроен DHCP на вторую подсеть 192.168.192.х Как настроить роутер или сервер, чтобы роутер раздавал нормально интернет?
User1435
я полагаю, что настроено всё в RRAS...
Тогда для 3-ей сетевухи вам надо выполнить теже действия, что и для 2-ой, и далее на роутере кабель втыкаем от 3-ей сетевухи в WAN разъём и прописываем в качестве шлюза IP сервера(192.168.192.200). DHCP надо будет поднимать на роутере, т.к. DHCP с сервера не пробьёт через роутер.
Таким макаром у вас будет работать интернет за роутером. Что касается вопроса о невидимости 2-ой сети для 3-ей, то это уже я вам не помогу... Ни когда не настраивал такое в винде.
ИМХО, шлюз должен быть на *nix -- это только моё мнение и я его ни кому не навязываю... Или же ставить в винде профессиональные решения - Kerio WinRoute Firewall например.
я полагаю, что настроено всё в RRAS...
Тогда для 3-ей сетевухи вам надо выполнить теже действия, что и для 2-ой, и далее на роутере кабель втыкаем от 3-ей сетевухи в WAN разъём и прописываем в качестве шлюза IP сервера(192.168.192.200). DHCP надо будет поднимать на роутере, т.к. DHCP с сервера не пробьёт через роутер.
Таким макаром у вас будет работать интернет за роутером. Что касается вопроса о невидимости 2-ой сети для 3-ей, то это уже я вам не помогу... Ни когда не настраивал такое в винде.
ИМХО, шлюз должен быть на *nix -- это только моё мнение и я его ни кому не навязываю... Или же ставить в винде профессиональные решения - Kerio WinRoute Firewall например.
Alukardd
Настраивал точно так же, как вы говорите. От 3й к роутеру в WAN. Шлюз 192.168.192.200 DHCP на роутере. Инет был, сети не было. Только инет был со скоростью 1-2 кб/сек. Почему такая скорость, не понятно.
Настраивал точно так же, как вы говорите. От 3й к роутеру в WAN. Шлюз 192.168.192.200 DHCP на роутере. Инет был, сети не было. Только инет был со скоростью 1-2 кб/сек. Почему такая скорость, не понятно.
User1435
я даже не знаю что в такой ситуации(я про задачи возлагаемые на чистый win2k3) анализировать...
p.s.если вы поменяете немного схему сети, то будет проще... воткните и настройте интернет на прямую в роутер(WAN порт). Подключите сервер как клиент к роутеру(да 1 сетевуха у него в такой схеме окажется лишней). Ну и все компы которые подключались к роутеру там и остаются, и те что подключались через свич к серверу тоже остаются на месте. Вот и всё задача раздать всем интернет решена!
Далее, если роутер умеет организовывать VLAN'ы, то и задача с отделением компов подключенных напрямую к роутеру от остальных легко решается...
я даже не знаю что в такой ситуации(я про задачи возлагаемые на чистый win2k3) анализировать...
p.s.если вы поменяете немного схему сети, то будет проще... воткните и настройте интернет на прямую в роутер(WAN порт). Подключите сервер как клиент к роутеру(да 1 сетевуха у него в такой схеме окажется лишней). Ну и все компы которые подключались к роутеру там и остаются, и те что подключались через свич к серверу тоже остаются на месте. Вот и всё задача раздать всем интернет решена!
Далее, если роутер умеет организовывать VLAN'ы, то и задача с отделением компов подключенных напрямую к роутеру от остальных легко решается...
Цитата:
Чет я совсем запутался!
Ядро для NAT пересобрано, НАТ работает, но вот почему он работает - не пойму!
в fw.sh (такой файл у меня для запуска правил IPFW)
в нем щас одна строка allow all from any to any
никаких divert nat нету.
НАТ работает и SQUID работает для юзеров! КАК ?
Спасибо за помощь. Перенастроил всё без 3й сетевухи.
Доброго времени)) прошу помощи, раскладка такая:
Интернет приходит через VPN-соединение (ip сервера 20.0.0.1) на основную машину (WinXP, 20.0.0.10), и по этой же сети раздаёт его: открыт общий доступ в VPN соединении другим пользователям, а на других машинах шлюз 20.0.0.10, и всё хорошо и прекрасно.
но появилась потребность поставить вторую сетевушку (например 192.168.15.1) и раздавать в обе стороны, на 2 сети. и знаний моих тут уже пока явно не хватает... как это реализовать, подскажите пожалуйста? и если можно поподробнее)))
и вопрос №2 (второй по значимости )..
физически в первой сети (в которую смотрит 20.0.0.10) есть машина с совсем иным адресом (скажем 192.168.5.5). можно ли настроить конфигурацию первого адаптера так, чтобы одновременно инет могли "доить" обе подсети (или же только "отщепенец")? ну и конечно же плюс та сеть, что теперь на втором адаптере висит.
вот такая задачка. Да, и маска всюду 255.255.255.0 - адреса "большой" сети колят глаз конечно, но это уже не моих рук дело
))... вроде все верно изложил. от толковых ссылок на матчасть тоже не откажусь. спасибо!
...При этом вдруг обнаружил: вопреки тому, что пинги с внутренней (192.168.15.0) сети идут не далее, чем до первого адаптера основного компа (20.0.0.92), и никаких признаков инета в ней нет, -- на машине (шлюз 192.168.15.1) в этой сетке всё-таки каким-то образом заработал скайп. Почему это возможно? кто-нить может объяснить, каким образом он проковырял себе путь?)))) Спасибо!))
Интернет приходит через VPN-соединение (ip сервера 20.0.0.1) на основную машину (WinXP, 20.0.0.10), и по этой же сети раздаёт его: открыт общий доступ в VPN соединении другим пользователям, а на других машинах шлюз 20.0.0.10, и всё хорошо и прекрасно.
но появилась потребность поставить вторую сетевушку (например 192.168.15.1) и раздавать в обе стороны, на 2 сети. и знаний моих тут уже пока явно не хватает... как это реализовать, подскажите пожалуйста? и если можно поподробнее)))
и вопрос №2 (второй по значимости )..
физически в первой сети (в которую смотрит 20.0.0.10) есть машина с совсем иным адресом (скажем 192.168.5.5). можно ли настроить конфигурацию первого адаптера так, чтобы одновременно инет могли "доить" обе подсети (или же только "отщепенец")? ну и конечно же плюс та сеть, что теперь на втором адаптере висит.
вот такая задачка. Да, и маска всюду 255.255.255.0 - адреса "большой" сети колят глаз конечно, но это уже не моих рук дело
))... вроде все верно изложил. от толковых ссылок на матчасть тоже не откажусь. спасибо! ...При этом вдруг обнаружил: вопреки тому, что пинги с внутренней (192.168.15.0) сети идут не далее, чем до первого адаптера основного компа (20.0.0.92), и никаких признаков инета в ней нет, -- на машине (шлюз 192.168.15.1) в этой сетке всё-таки каким-то образом заработал скайп. Почему это возможно? кто-нить может объяснить, каким образом он проковырял себе путь?)))) Спасибо!))
6opo6ep
Цитата:
хоть я и просил нарисовать, но что-то ни черта на вашей схеме я не понял)
меня еще мучает мысль после прочтения текста, если у вас 1 машина с левым адресом в подсети 20*, так что мешает ей его переназначить?
Цитата:
матчастьадресация
хоть я и просил нарисовать, но что-то ни черта на вашей схеме я не понял)
меня еще мучает мысль после прочтения текста, если у вас 1 машина с левым адресом в подсети 20*, так что мешает ей его переназначить?
дело в том что адреса в той сетке (20.0.0.0) выдаются как-бы "по договору" и нет гарантии, что однажды присвоенный "нелегально" машине адрес не дадут кому-то еще. в общем, чтоб вкорне исключить такой вариант.. но сейчас это не основная проблема..
машина №1 принимает и раздает инет. в ту же сеть - конечно проблемы нет, а вот по какому принципу сделать это и во внутреннюю? какими путями это реализовать и что для этого необходимо??
машина №1 принимает и раздает инет. в ту же сеть - конечно проблемы нет, а вот по какому принципу сделать это и во внутреннюю? какими путями это реализовать и что для этого необходимо??
6opo6ep
Если я все-таки вас понял, то...
В каждую сеть с сервера обращаете по сетевому интерфейсу и назначаете им соответствующие сетям адреса - далее настраиваете NAT и все работает.
p.s. если 2 сети находятся физически в 1 сегменте, то можно на 1 сетевую карточку сервера повесить 2 ip адреса (это что бы сэкономить 150руб на покупке дополнительной сетевухи
)
p.p.s.Если я опять вам что-то не так сказал. то извиняйте - вы очень хреново объясняете.
Если я все-таки вас понял, то...
В каждую сеть с сервера обращаете по сетевому интерфейсу и назначаете им соответствующие сетям адреса - далее настраиваете NAT и все работает.
p.s. если 2 сети находятся физически в 1 сегменте, то можно на 1 сетевую карточку сервера повесить 2 ip адреса (это что бы сэкономить 150руб на покупке дополнительной сетевухи
) p.p.s.Если я опять вам что-то не так сказал. то извиняйте - вы очень хреново объясняете.
спасибо. ))
а как все же получается, что на машине №2 (на которой пока нет доступа к инету, лишь указана в качестве шлюза №1) скайп работает исправно? Несколько сбивает с толку))
а как все же получается, что на машине №2 (на которой пока нет доступа к инету, лишь указана в качестве шлюза №1) скайп работает исправно? Несколько сбивает с толку))
6opo6ep
скайп это вообще отдельный разговор, но скорее всего что-то у вас в этой сети да настроено в верном направлении...
скайп это вообще отдельный разговор, но скорее всего что-то у вас в этой сети да настроено в верном направлении...
Цитата:
скорее всего что-то у вас в этой сети да настроено в верном направлении...
Судя по картинке, у 6opo6epа расшарено vpn-соединение через ICS
urodliv
ну не знаю что вы там углядели - я лично ни черта не понял смотрев на неё около 2минут)
мб вы ему и поможете, а по мне так еще 1 произведение Малевича квадратной формы...
ну не знаю что вы там углядели - я лично ни черта не понял смотрев на неё около 2минут)
мб вы ему и поможете, а по мне так еще 1 произведение Малевича квадратной формы...
Цитата:
ну не знаю что вы там углядели
Если мы об одном и том же, то я около моника с номером "адын" вижу зелёную стрелку с буквами "ICS". Дальше пошли ассоциации.
Цитата:
мб вы ему и поможете,
Всё может быть, хотя вероятность этого мааааленькая: зима скоро, надо к ней готовиться.
всем спасибо за помощь, хоть какую)) и прошу прощения за какие-либо огрехи в описании.
решено возведением моста и присвоением ему 2х IP: 20.0.0.92 и 192.168.15.1 соответственно. может это чем-то неправильно (аргументы кстати принимаются на ура) зато все работает..
проблема заключалась в том, что ics соглашался раздавать инет лишь в одном направлении (кстати, почему так?). а тут получается, оно и есть одно - мост.
правда при создании общего доступа к vpn-подключению ics ругается (видимо в попытках сменить на адрес 192.168.0.1), если мосту назначен дополнительный ip.
но если второй ip дать уже после расшаривания - хавает нормально. хотя если при загрузке системы VPN-подключение попытаться запустить "слишком рано", очевидно во время подключения моста, - он сообщает о недопустимом ip-адресе. повторное переподключение всё ставит на места :|
правильно ли я понимаю, чтоб увидеть из сети 192.168.15.0 какие-либо компы в сетке 20.0.0.0, на всех них нужно указать route'ом обратный маршрут через комп №1 (при условии отсутствия какого либо общего шлюза и т.п) ?
а вот загадка скайпа остается нераскрытой: на машине №2 был указан только шлюз - №1 (а инет раздавался на тот момент в другой сегмент - 20.0.0.0). для общего развития всё же было бы неплохо узнать, почему S в отличие от всего остального нормально работал... что они там такое наворотили в нем?
решено возведением моста и присвоением ему 2х IP: 20.0.0.92 и 192.168.15.1 соответственно. может это чем-то неправильно (аргументы кстати принимаются на ура) зато все работает..
проблема заключалась в том, что ics соглашался раздавать инет лишь в одном направлении (кстати, почему так?). а тут получается, оно и есть одно - мост.
правда при создании общего доступа к vpn-подключению ics ругается (видимо в попытках сменить на адрес 192.168.0.1), если мосту назначен дополнительный ip.
но если второй ip дать уже после расшаривания - хавает нормально. хотя если при загрузке системы VPN-подключение попытаться запустить "слишком рано", очевидно во время подключения моста, - он сообщает о недопустимом ip-адресе. повторное переподключение всё ставит на места :|
правильно ли я понимаю, чтоб увидеть из сети 192.168.15.0 какие-либо компы в сетке 20.0.0.0, на всех них нужно указать route'ом обратный маршрут через комп №1 (при условии отсутствия какого либо общего шлюза и т.п) ?
а вот загадка скайпа остается нераскрытой: на машине №2 был указан только шлюз - №1 (а инет раздавался на тот момент в другой сегмент - 20.0.0.0). для общего развития всё же было бы неплохо узнать, почему S в отличие от всего остального нормально работал... что они там такое наворотили в нем?
6opo6ep
Цитата:
Цитата:
Цитата:
правильно ли я понимаю, чтоб увидеть из сети 192.168.15.0 какие-либо компы в сетке 20.0.0.0, на всех них нужно указать route'ом обратный маршрут через комп №1 (при условии отсутствия какого либо общего шлюза и т.п) ?да на каждом ручками(ну или скриптом) прописать маршруты до 2-ой сетки. Хотя несомненно маршрутизацию лучше организовывать на шлюзе.
Цитата:
а вот загадка скайпа остается нераскрытой: на машине №2 был указан только шлюз - №1 (а инет раздавался на тот момент в другой сегмент - 20.0.0.0). для общего развития всё же было бы неплохо узнать, почему S в отличие от всего остального нормально работал... что они там такое наворотили в нем?Если на соседних машинах тоже был запущен Skype - то тогда все более менее понятно - он широковещательным трафиком находит других клиентов и через них выходит в сеть в силу своей P2P архитектуры.
Возникла необходимость настроить NAT на линуксе с возможностью полисинга трафика. Грубо говоря, имея 100 Мбитный внешний канал, сделать так, чтобы клиенты из подсети 192.168.2.0 имели средний максимум 1Мбит, клиенты из подсети 192.168.3.0 имели максимум 256 Кбит, но кратковременно все могли иметь до 10 Мбит, чтобы странички не тормозили.
С линуксом работал мало, больше с юниксами, потому хотелось бы услышать, насколько это реально и как это лучше реализовать.
Можно было бы это, конечно, сделать на циске, но не хочется заморачивать циску лишними глупостями, в то время как имеется ничем особо не загруженный сервер под Дебиан.
С линуксом работал мало, больше с юниксами, потому хотелось бы услышать, насколько это реально и как это лучше реализовать.
Можно было бы это, конечно, сделать на циске, но не хочется заморачивать циску лишними глупостями, в то время как имеется ничем особо не загруженный сервер под Дебиан.
vlary
В шапке темы Firewall *nix: iptables, ipfw, pf etc... есть замечательная ссылка (на LARTC). Нужные вам части: 1, 2. В общем по оглавлению пройдитесь - там уйма всего полезного... Ну и manpage разумеется)))
В шапке темы Firewall *nix: iptables, ipfw, pf etc... есть замечательная ссылка (на LARTC). Нужные вам части: 1, 2. В общем по оглавлению пройдитесь - там уйма всего полезного... Ну и manpage разумеется)))
Alukardd Да теорию я знаю, и упомянутую статью не так давно читал в подлиннике: Linux Advanced Routing & Traffic Control HOWTO
Меня интересует конкретная реализация, с примерами конфига в увязке с NAT, iptables, etc., и мнение человека, ее у себя реализовавшего.
Меня интересует конкретная реализация, с примерами конфига в увязке с NAT, iptables, etc., и мнение человека, ее у себя реализовавшего.
Создал такой скриптик:
Код: tc qdisc del dev br0 root
tc qdisc del dev br0 handle ffff: ingress
tc qdisc add dev br0 root handle 1: htb default 10
tc class add dev br0 parent 1: classid 1:1 htb rate 30mbit burst 15k
tc class add dev br0 parent 1:1 classid 1:10 htb rate 1mbit ceil 1mbit burst 15k
tc class add dev br0 parent 1:1 classid 1:20 htb rate 2mbit ceil 2mbit burst 15k
tc filter add dev br0 parent 1: protocol ip prio 1 u32 match ip dst 192.168.2.0/24 classid 1:10
tc qdisc add dev br0 parent 1:10 handle 10: sfq perturb 10
tc qdisc add dev br0 parent 1:20 handle 20: sfq perturb 10
tc qdisc add dev br0 handle ffff: ingress
tc filter add dev br0 parent ffff: protocol ip prio 1 u32 match ip src 192.168.2.0/24 police rate 1mbit burst 100k drop flowid :20
Код: tc qdisc del dev br0 root
tc qdisc del dev br0 handle ffff: ingress
tc qdisc add dev br0 root handle 1: htb default 10
tc class add dev br0 parent 1: classid 1:1 htb rate 30mbit burst 15k
tc class add dev br0 parent 1:1 classid 1:10 htb rate 1mbit ceil 1mbit burst 15k
tc class add dev br0 parent 1:1 classid 1:20 htb rate 2mbit ceil 2mbit burst 15k
tc filter add dev br0 parent 1: protocol ip prio 1 u32 match ip dst 192.168.2.0/24 classid 1:10
tc qdisc add dev br0 parent 1:10 handle 10: sfq perturb 10
tc qdisc add dev br0 parent 1:20 handle 20: sfq perturb 10
tc qdisc add dev br0 handle ffff: ingress
tc filter add dev br0 parent ffff: protocol ip prio 1 u32 match ip src 192.168.2.0/24 police rate 1mbit burst 100k drop flowid :20
vlary
Цитата:
Цитата:
u32 match ip dst 192.168.2.0/24вроде как лучше использовать iptables -j MARK а потом на их основе прицеплять классы, а не использовать u32 селектор...
Alukardd
Цитата:
Цитата:
вроде как лучше использовать iptables -j MARKОно может и лучше, да так проще... Потестирую под реальной нагрузкой, если сильно систему тормозить не будет, так и оставлю.
Люди добрые помогите пожалуйста решить проблему. Имеется 2 ната, один в моей сети(интернет идет через tplink роутер), другой в сети провайдера. Существует проблема я поставил камеру на один из компов сети, она не выходит на внешний айпи, это мне нужно для того чтобы просматривать камеру с сервера камеры TP link. Помогите пожалуйста
delphi47
Эм.. в сети провайдера NAT one-to-one видимо?.. Т.е. он ни как Вам мешать не должен.
Что значит камера с компа "не выходит на внешний ip"? Это как? И что такое сервер камеры TP Link, это тот же маршрутизатор что ли?
Если Вам надо выставить ip-камеру наружу, то на tplink'е делаете DNAT нужного порта (возможно это называется виртуальный сервер) на вашу камеру, правда это не безопасно.
Эм.. в сети провайдера NAT one-to-one видимо?.. Т.е. он ни как Вам мешать не должен.
Что значит камера с компа "не выходит на внешний ip"? Это как? И что такое сервер камеры TP Link, это тот же маршрутизатор что ли?
Если Вам надо выставить ip-камеру наружу, то на tplink'е делаете DNAT нужного порта (возможно это называется виртуальный сервер) на вашу камеру, правда это не безопасно.
Предыдущая тема: Простенькая сеточка на коаксиале
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.