18 Декабрь 2017, 19:42

Цитата дня:

UNIX не предназначен для ограждения своих пользователей от глупостей, поскольку это оградило бы их и от умных вещей. Дуг Гвин


убунту сервер с 3-4 сетевыми

Автор salex, 14 Март 2017, 19:35

« предыдущая тема - следующая тема »

0 Пользователей и 1 Гость просматривают эту тему.

Вниз

salex

14 Март 2017, 19:35 Последнее редактирование: 14 Март 2017, 19:39 от salex
Уважаемые знатоки
будьте добры куда копать в маршрутизации
в сервер из статьи нада доставить пару сетевух и  сделать 3 сегмента сети с разной ессно адресацией
так вот что и как допиливать по маршрутизации ? по идее в днс маске нада будет указать как то области для каждого сегмента и какие выдавать адреса и какие слушать сетевые интерфейсы ---хотя тоже вопрос, как ?
ну и трафик как чтоб туда сюда между сегментами бегал, дописать в файл nat маршруты по умолчанию типа
route add 192.168.31.0 mask 255.255.255.0 192.168.30.1
хотя тут на форуме Андрей говорил что нет смысла в таком маршруте, но нада чтобы все машин в сегменте 192.168.30.х были видны в сегментах 31.х и там например 32.х
значит нада указать куда ? на кого ? вот все время путаюсь в этом
поправьте пожалуйста

Уваров А.С.

Для dnsmasq можно явно указывать интерфейс:

dhcp-range = interface:eth0,192.168.1.110,192.168.1.254,24h

dhcp-option = interface:eth0,option:router, 192.168.1.1


Что касается маршрутизации, то если роутер является шлюзом по умолчанию для всех сетей и трафик между сетями разрешен, то дополнительной маршрутизации не потребуется.

salex

а если нада чтобы трафик каждой сети шел только наружу в инет и не пересекался с друг другом ?
что то нада в файле nat делать ?
как понять базис или где почитать ?

Уваров А.С.

Базис - это маршрутизация. Если вы понимаете, куда пойдет тот или иной пакет, то вы будете понимать что с ним делать.

А чтобы трафик не пересекался друг с другом достаточно запретить транзитный трафик между сетевыми в цепочке FORWARD.

Например:

iptables -A FORWARD -i eth1  -o eth2 -j REJECT

Внутри своих сетей лучше использовать REJECT, а не DROP, так как REJECT отвечает что доступ запрещен, а DROP просто убивает пакет и может быть неясно, то ли это брандмауэром закрыто, то ли хост не в сети.

salex

Андрей очень благодарю вас за помощь
но как быть в ситуации вот такой

есть  сервер на винде там стоит дхцп, днс, без АД
нада выпустить всех в интернет

я не совсем понимаю нада ли ставить днсмаск на роутере если есть днс сервер в сети уже
или нада на виндовом днс прописать сервер пересылки на айпи роутера на линуксе с днсмаск
понятно что дхцп не нада на роутере разворачивать, понятно что настроить файл нат и маршрутизацию нада,и сквид также, но вот что делать с днсмаск ? ставить не ставить ? или сносить роль днс на виндовом сервере и в дхцп указывать днсом айпи роутера с днсмаск ?
запутался

Уваров А.С.

Если у вас есть уже настроенный DNS, то dnsmasq вам не нужен.

Вверх