Мне была поставлена задача следующая - огранизовать доступ клиентов в Инет, используя сервак с FreeBSD и биллинг NetUP UTM 5.
При этом клиенты подключаются следующими способами:
1. Через PPPoE, айпи выдаются через NAT
2. Через PPPoE, айпи белые
3. Через чистый Ethernet, белые айпи, без авторизации.
Схема логическая приведена тут:
На данный момент реализовано подключение первого типа, то есть все клиенты подключаются по PPPoE, авторизуются по RADIUS, айпишники натовские.
Использована конфигурация FreeBSD-7.4 RELEASE, MPD-5.5, NetUP UTM5, NetUP Radius, IPFW + natd + Dummynet.
Для ната используется следующее правило:
ipfw add 500 divert natd all from any to any via bge0 #(bge0 - интерфейс, смотрящий в инет).
Вопрос в следующем:
- Возможно ли организовать NAT только для части клиентов (а именно, находящихся в VLAN 301), а остальным выдавать белые айпи, и как это реализовать?
UPD:
попробовал реализовать с помощью правил ipfw:
500 allow ip from aaa.bbb.ccc.ddd/mm to any via bge0
600 allow ip from any to aaa.bbb.ccc.ddd/mm via bge0
700 divert natd all from any to any via bge0
где aaa.bbb.ccc.ddd/mm - диапазон белых айпи
Предварительно включил нужные интерфейсы в режим моста.
Ситуация сложилась следующая:
1) При работе всех трех правил не пускает ни тех, ни других клиентов в инет
2) при отключении правила 700 выпускает по Ethernet без авторизации в инет, не выпускает РРРоЕ
3) при отключении правил 500 и 600 выпускает в инет по РРРоЕ, не выпускает по Ethernet
Хотя по логике все должно работать... Хелп плиз!
