Иван Левшин aka Ivan L. писал(а):БМ с двумя интерфейсами можно спокойно ставить и на границу. На одном интерфейсе приватный адрес, на другом - публичный. Поднимаем НАТ на публичном, настраиваем файрволл. .. Если нужна ДМЗ с некоторым числом публично доступных сервисов - да, надо ставить дополнительные файрволлы. Если нет - просто ставим на выходе БМ с двумя интерфейсами и настраиваем файрволл на нем.
Иван, ты не читаешь про мои "исторические обстоятельства". Писал же, что внутри мне хочется оставить адреса как есть - т.е. НАТ тут вроде ни при чем. ДМЗ мне как таковая не нужна, меня пров неплохо прикрывает, в т.ч. и файрволом, и мы и так уже все за одним большим НАТом.
Что нужно я писал в самом начале - нужно считать трафик пользователей и контролировать их бюджеты. Плюс заодно хотелось блокировать "левый" трафик особо умных, но тут без двух интерфейсов не обойтись, как я понимаю. А без добавления второй, отличной от моей сети, маршрутизацию между ними не настроить - впрочем, как не настроить ее и с моей теперешней адресацией по причине CIDR'a, который "Новелл не держит". Мораль - поставить ВМ внутри, с одним интерфейсом ради прокси, т.к. без перетряски всей адресации в двумя не завести .. а простой файер снаружи поставить на Линуксе
и дропать все, что не от ВМ. Хотя нет, хрен получится - менять адресацию все равно же придется. Так что, похоже, без вариантов ? С "левым" трафиком бороться на клиентах.
Владимир Горяев
Я этот ТИД уже видел, спасибо. Раньше не знал, что у Новелла проблемы с CIDRом.