forum.lissyara.su

Всем привет, я тут новенький и у меня есть странная проблема.
Итак, дано:
Некая машина, назовем ее шлюзом, на ней крутится FreeBSD 8.0-RELEASE, в ядро добавлены опции IPFIREWALL, IPDIVERT, IPFIREWALL_DEFAULT_TO_ACCEPT, IPFIREWALL_VERBOSE, DUMMYNET и IPFIREWALL_FORWARD.
Внешний интерфейс em0, на нем 3 внешних статических IP адреса (например 1.1.1.1, 1.1.1.2 и 1.1.1.3).
Внутренний интерфейс rl0 с внутренним адресом (192.168.13.200 к примеру). Физически к rl0 подключен простейший свитч, к нему несколько рабочих станций и 2 железки для IP телефонии.
Между подсетью 192.168.13.0/24 (рабочие станции) и 1.1.1.1 работает natd, тут все счастливы.
Задача:
Все что ходит на 1.1.1.2 и 1.1.1.3 (и обратно) нужно как-то перекинуть на железки для IP телефонии. При этом в железках прописаны эти же самые адреса - 1.1.1.2 и 1.1.1.3, и менять их на другие нельзя.
Просто поставить перед шлюзом некий свитч и подключить железки именно туда не вариант, т.к. хочется иметь возможность во-первых фильтровать траффик, во вторых считать его, а в третьих ограничивать ширину каналов и всякое такое.
Пробовал сделать алиасом на rl0 некий адрес 1.1.1.10 и сделать потом через natd -redirect_adress 1.1.1.2 1.1.1.2, но или что-то не так сделал или оно так впринципе не работает...
Подскажите, пожалуйста, с какой стороны тут копать. Спасибо заранее :)

используйте фрю как свитч
что то фильтровать получиться
что то нет
но других вариантов нет

используйте фрю как свитч

Да я бы с радостью, но пока не очень представляю как это настроить.

очепятался - свитч -> бридж

http://www.freebsd.org/doc/ru/books/han ... dging.html

Похоже, это то что нужно. Спасибо!

BATCOH писал(а):...
Пробовал сделать алиасом на rl0 некий адрес 1.1.1.10 и сделать потом через natd -redirect_adress 1.1.1.2 1.1.1.2, но или что-то не так сделал или оно так впринципе не работает...

в принципе и не должно, так как вы внешний адрес пробрасываете на самого себя

должно быть что-то типа:

Вся фишка в том, что внутренний адрес получается такой же, как и внешний. А назначить нормальный внутренний адрес железкам нельзя.

если хотите шаманства то попробуйте разобраться с -proxy_rule в natd.

если нет, то делайте мост с помощью if_bridge и будет счастье.

BATCOH писал(а):Вся фишка в том, что внутренний адрес получается такой же, как и внешний. А назначить нормальный внутренний адрес железкам нельзя.

не совсем понятно что имеется ввиду

BATCOH, попробуйте использовать proxy arp. Ваш шлюз будет отвечать во внешней подсети, что это он 1.1.1.2 или 1.1.1.3 т.е. подсовывать свой MAC-адрес в ARP-ответы. После этого вы будете получать пакеты для узлов 1.1.1.2 и 1.1.1.3, а далее элементарная маршрутизация.
В качестве альтернативы, попробуйте договориться с провайдером, что бы он добавил на своём оборудовании маршруты до 1.1.1.2 и 1.1.1.3 через 1.1.1.1.