NAT

Обсуждение технических вопросов по продуктам Novell

NAT

Сообщение Денис Кострюков » 24 сен 2002, 11:29

Уважаемые!
Есть сервак с SBS6 и BM3.6, в нем два сетевых интерфейса, на одном реальный адрес, на другом маскарадный, включаю нат на внешнем интерфейсе (так в доке написано) - все работает.
Вопрос в следующем: есть у меня еще сетка из восьми реальных адресов, я конечно реальный адрес на внутренний интерфейс вторым повешу, но он что, тоже через нат ходить будет?
Кстати еще вопрос: почему нат надо включать на внешнем интерфейсе, а не на внутреннем ? В Линухе маскарад на внутреннем включался да еще и на конкретную сетку.
Денис Кострюков
 
Сообщения: 25
Зарегистрирован: 12 сен 2002, 15:21

Сообщение Сергей Каретин » 24 сен 2002, 11:59

Включай реальный адрес на внешний интерфейс, его шнурком в отдельный хаб/свитч, ну и все остальные интерфейсы с реальными адресами в тот же хаб/свитч
Сергей Каретин
 
Сообщения: 201
Зарегистрирован: 05 июн 2002, 08:21
Откуда: Ярославль

Сообщение Денис Кострюков » 24 сен 2002, 12:23

Внешний интерфейс у меня в Интернет сморит
Денис Кострюков
 
Сообщения: 25
Зарегистрирован: 12 сен 2002, 15:21

Сообщение Сергей Каретин » 24 сен 2002, 13:46

Денис Кострюков писал(а):Внешний интерфейс у меня в Интернет сморит


Ну и какие проблемы, как он у тебя в инет смотрит?
Сергей Каретин
 
Сообщения: 201
Зарегистрирован: 05 июн 2002, 08:21
Откуда: Ярославль

Сообщение Денис Кострюков » 24 сен 2002, 13:53

мне надо сетку реальных адресов посадить на внутренний интерфейс
и просто ее роутить, если нат не ставить то проблем не будет, а вот если нат поставить ?
Денис Кострюков
 
Сообщения: 25
Зарегистрирован: 12 сен 2002, 15:21

Сообщение Сергей Каретин » 24 сен 2002, 14:07

Обрисовал бы тогда по-подробнее картину, зачем тебе реальные адреса на приватном интерфейсе, и как у тебя интернет подключен.
Но, на сколько я помню, чтобы НАТ заработал, необходим public и privat интерфейсы
Сергей Каретин
 
Сообщения: 201
Зарегистрирован: 05 июн 2002, 08:21
Откуда: Ярославль

Сообщение Денис Кострюков » 24 сен 2002, 14:17

У меня один реальный адрес на Public интерфейсе, на Privat я хочу посадить сетку с левыми адресами и сетку с реальными адресами т.е. на Private посадить два адреса

Сейчас это все прекрасно работает на Линуксе, я хочу узнать будет ли это работать на NW6
Денис Кострюков
 
Сообщения: 25
Зарегистрирован: 12 сен 2002, 15:21

Сообщение Сергей Каретин » 24 сен 2002, 14:26

Ну а к инету-то ты как подключен?
Если на public интерфейсе у тебя ethernet, то выдели отдельный хабик, вытащи шнурок из твоего нынешнего public интерфейса, и воткни в этот хабик, а так же воткни в него все остальные интерфейсы с реальными адресами.
Сергей Каретин
 
Сообщения: 201
Зарегистрирован: 05 июн 2002, 08:21
Откуда: Ярославль

Сообщение Денис Кострюков » 24 сен 2002, 14:39

Интересно, батенька, а чем я сетку реальных адресов маршрутизировать буду?
Денис Кострюков
 
Сообщения: 25
Зарегистрирован: 12 сен 2002, 15:21

Сообщение Alex-M » 24 сен 2002, 15:30

Денис Кострюков
Так... Не совсем понимаю - точнее, совсем не понимаю.
У тебя есть 8 реальных адресов и внутренняя сеть - так? Если так, зачем тебе реальный адрес на внутреннем интерфейсе?
Зачем их роутить наружу? Есть что-то типа ВЕБ-сервера, который должен быть виден снаружи? Или что?
В подавляющем большинстве случаев нет никакой необходимости для внутренних ресурсов делать реальные адреса. Делай приватные и поднимай для них реверс-прокси или статик-НАТ (на внешнем интерфейсе). Для клиентов пользуй прокси.
Ели уж так необходимо роутить отдельную сеть реальных адресов - сделай, как предлагали: вторую привязку к приват-интерфейсу и всё. НАТ будет ходить через первую привязку - ты ж его в привязках настраиваешь, а не в протоколах.
Но совсем правильно сделать так - поставить в сервер ещё одну сетевую плату и на неё повесить эту сетку.
[/b]
Вагончик тронется, НОВЕЛЛ - останется!!!
Alex-M
 
Сообщения: 298
Зарегистрирован: 21 авг 2002, 16:46
Откуда: Москва, МИД России

Сообщение Денис Кострюков » 24 сен 2002, 15:39

Да, мне необходимо роутить отдельную сеть реальных адресов и насчет привязок мне все понятно. Мне не понятно почему нат нужно включать на адресе который привязан к Public интерфейсу ?
Ведь было бы логичнее включать его на левом адресе, привязанном к Private интерфейсу.
Вариант с отдельной сетевухой отпадает.
Денис Кострюков
 
Сообщения: 25
Зарегистрирован: 12 сен 2002, 15:21

Сообщение Alex-M » 24 сен 2002, 15:49

Почему - очень просто: НАТ выполняет преобразование адресов в момент, когда пакет покидает интерфейс. Соответственно, он подымается на внешнем, по отношению к преобразуемому адресу, интерфейсе.
Вот и всё!
Вагончик тронется, НОВЕЛЛ - останется!!!
Alex-M
 
Сообщения: 298
Зарегистрирован: 21 авг 2002, 16:46
Откуда: Москва, МИД России

Сообщение Денис Кострюков » 24 сен 2002, 15:52

Я так понял что пакеты с реальны адресов под НАТ не попадут?
В смысле система разбереться какие адреса левые а какие реальные ?
Я правильно понял?
Денис Кострюков
 
Сообщения: 25
Зарегистрирован: 12 сен 2002, 15:21

Сообщение Alex-M » 24 сен 2002, 16:21

Не совсем. Динамик-НАТ преобразует всё, что в него попало. Т.е., то, что должно пройти через его интерфейс.
В твоём случае, когда есть приватная сеть (которую надо проНАТить) и есть публичные 8 адресов (доступ к которым производится через тот же интерфейс) - простое подымание Динамик-НАТа снаружи не пройдёт (я верно понимаю, что имеется ввиду именно Динамик моде?).
Вариантов может быть несколько:
1) выкинуть НАТ на... и пользовать прокси или гейтвей для юзеров, другая сеть будет роутиться как обычно.
2) на паблик-интерфейс повесить secondaryIP из той же подсети, что и примари; далее вешаем ДинамикНАТ на примари-адрес (обязательно на примари!), а роутинг на вторую сеть пускаем через секондари-адрес.
3) использовать Динамик+Статик моде: через Динамик (на примари-адресе) пускать юзеров, через Статик - сеть из 8 адресов (кстати, те, что внути уже могут быть и нереальными), но нужно ещё 8 адресов снаружи (всего 9 - с учётом примари).
4) есть ещё что-то - сейчас не вспомню...
Самый идеологисськи верный - первый вариант, т.к. для него можно нормально секурити раздать фильтрами и рульками для прокси.
Вагончик тронется, НОВЕЛЛ - останется!!!
Alex-M
 
Сообщения: 298
Зарегистрирован: 21 авг 2002, 16:46
Откуда: Москва, МИД России

Сообщение Сергей Каретин » 24 сен 2002, 16:23

Денис Кострюков писал(а):Интересно, батенька, а чем я сетку реальных адресов маршрутизировать буду?


А зачем, юноша, эти реальные адреса маршрутизировать тебе??
И вобще, советую сходить тебе на:

http://www.novell.com/documentation/

и прочитать документацию по Бордюру, где про НАТ, рассказывается, чтобы понять что это такое, и для чего оно нужно.
Сергей Каретин
 
Сообщения: 201
Зарегистрирован: 05 июн 2002, 08:21
Откуда: Ярославль

След.

Вернуться в Novell

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 9

cron