Страница 1 из 2

NAT

СообщениеДобавлено: 24 сен 2002, 11:29
Денис Кострюков
Уважаемые!
Есть сервак с SBS6 и BM3.6, в нем два сетевых интерфейса, на одном реальный адрес, на другом маскарадный, включаю нат на внешнем интерфейсе (так в доке написано) - все работает.
Вопрос в следующем: есть у меня еще сетка из восьми реальных адресов, я конечно реальный адрес на внутренний интерфейс вторым повешу, но он что, тоже через нат ходить будет?
Кстати еще вопрос: почему нат надо включать на внешнем интерфейсе, а не на внутреннем ? В Линухе маскарад на внутреннем включался да еще и на конкретную сетку.

СообщениеДобавлено: 24 сен 2002, 11:59
Сергей Каретин
Включай реальный адрес на внешний интерфейс, его шнурком в отдельный хаб/свитч, ну и все остальные интерфейсы с реальными адресами в тот же хаб/свитч

СообщениеДобавлено: 24 сен 2002, 12:23
Денис Кострюков
Внешний интерфейс у меня в Интернет сморит

СообщениеДобавлено: 24 сен 2002, 13:46
Сергей Каретин
Денис Кострюков писал(а):Внешний интерфейс у меня в Интернет сморит


Ну и какие проблемы, как он у тебя в инет смотрит?

СообщениеДобавлено: 24 сен 2002, 13:53
Денис Кострюков
мне надо сетку реальных адресов посадить на внутренний интерфейс
и просто ее роутить, если нат не ставить то проблем не будет, а вот если нат поставить ?

СообщениеДобавлено: 24 сен 2002, 14:07
Сергей Каретин
Обрисовал бы тогда по-подробнее картину, зачем тебе реальные адреса на приватном интерфейсе, и как у тебя интернет подключен.
Но, на сколько я помню, чтобы НАТ заработал, необходим public и privat интерфейсы

СообщениеДобавлено: 24 сен 2002, 14:17
Денис Кострюков
У меня один реальный адрес на Public интерфейсе, на Privat я хочу посадить сетку с левыми адресами и сетку с реальными адресами т.е. на Private посадить два адреса

Сейчас это все прекрасно работает на Линуксе, я хочу узнать будет ли это работать на NW6

СообщениеДобавлено: 24 сен 2002, 14:26
Сергей Каретин
Ну а к инету-то ты как подключен?
Если на public интерфейсе у тебя ethernet, то выдели отдельный хабик, вытащи шнурок из твоего нынешнего public интерфейса, и воткни в этот хабик, а так же воткни в него все остальные интерфейсы с реальными адресами.

СообщениеДобавлено: 24 сен 2002, 14:39
Денис Кострюков
Интересно, батенька, а чем я сетку реальных адресов маршрутизировать буду?

СообщениеДобавлено: 24 сен 2002, 15:30
Alex-M
Денис Кострюков
Так... Не совсем понимаю - точнее, совсем не понимаю.
У тебя есть 8 реальных адресов и внутренняя сеть - так? Если так, зачем тебе реальный адрес на внутреннем интерфейсе?
Зачем их роутить наружу? Есть что-то типа ВЕБ-сервера, который должен быть виден снаружи? Или что?
В подавляющем большинстве случаев нет никакой необходимости для внутренних ресурсов делать реальные адреса. Делай приватные и поднимай для них реверс-прокси или статик-НАТ (на внешнем интерфейсе). Для клиентов пользуй прокси.
Ели уж так необходимо роутить отдельную сеть реальных адресов - сделай, как предлагали: вторую привязку к приват-интерфейсу и всё. НАТ будет ходить через первую привязку - ты ж его в привязках настраиваешь, а не в протоколах.
Но совсем правильно сделать так - поставить в сервер ещё одну сетевую плату и на неё повесить эту сетку.
[/b]

СообщениеДобавлено: 24 сен 2002, 15:39
Денис Кострюков
Да, мне необходимо роутить отдельную сеть реальных адресов и насчет привязок мне все понятно. Мне не понятно почему нат нужно включать на адресе который привязан к Public интерфейсу ?
Ведь было бы логичнее включать его на левом адресе, привязанном к Private интерфейсу.
Вариант с отдельной сетевухой отпадает.

СообщениеДобавлено: 24 сен 2002, 15:49
Alex-M
Почему - очень просто: НАТ выполняет преобразование адресов в момент, когда пакет покидает интерфейс. Соответственно, он подымается на внешнем, по отношению к преобразуемому адресу, интерфейсе.
Вот и всё!

СообщениеДобавлено: 24 сен 2002, 15:52
Денис Кострюков
Я так понял что пакеты с реальны адресов под НАТ не попадут?
В смысле система разбереться какие адреса левые а какие реальные ?
Я правильно понял?

СообщениеДобавлено: 24 сен 2002, 16:21
Alex-M
Не совсем. Динамик-НАТ преобразует всё, что в него попало. Т.е., то, что должно пройти через его интерфейс.
В твоём случае, когда есть приватная сеть (которую надо проНАТить) и есть публичные 8 адресов (доступ к которым производится через тот же интерфейс) - простое подымание Динамик-НАТа снаружи не пройдёт (я верно понимаю, что имеется ввиду именно Динамик моде?).
Вариантов может быть несколько:
1) выкинуть НАТ на... и пользовать прокси или гейтвей для юзеров, другая сеть будет роутиться как обычно.
2) на паблик-интерфейс повесить secondaryIP из той же подсети, что и примари; далее вешаем ДинамикНАТ на примари-адрес (обязательно на примари!), а роутинг на вторую сеть пускаем через секондари-адрес.
3) использовать Динамик+Статик моде: через Динамик (на примари-адресе) пускать юзеров, через Статик - сеть из 8 адресов (кстати, те, что внути уже могут быть и нереальными), но нужно ещё 8 адресов снаружи (всего 9 - с учётом примари).
4) есть ещё что-то - сейчас не вспомню...
Самый идеологисськи верный - первый вариант, т.к. для него можно нормально секурити раздать фильтрами и рульками для прокси.

СообщениеДобавлено: 24 сен 2002, 16:23
Сергей Каретин
Денис Кострюков писал(а):Интересно, батенька, а чем я сетку реальных адресов маршрутизировать буду?


А зачем, юноша, эти реальные адреса маршрутизировать тебе??
И вобще, советую сходить тебе на:

http://www.novell.com/documentation/

и прочитать документацию по Бордюру, где про НАТ, рассказывается, чтобы понять что это такое, и для чего оно нужно.