Назад | Перейти на главную страницу

Шлюз и роутер на одном компьютере

Мы пытались настроить Linux / BSD / etc, который может работать и как интернет-шлюз, и как маршрутизатор. Я не знаю, как правильно сформулировать нашу ситуацию, поэтому, пожалуйста, простите меня ...

В настоящее время мы используем Vyatta со следующими сетевыми интерфейсами (с замаскированными IP-адресами):

Проблема в следующем: когда мы устанавливаем правило NAT для маршрутизации трафика 10.10.0.0/16 через br100 ничего не маршрутизируется. Однако, если мы установим правило NAT для маршрутизации через eth0, трафик фактически маршрутизируется, но теперь он исходит из адреса x.x.x.178 вместо адреса y.y.y.1.

Что я здесь делаю не так? Любые мысли или предложения были бы полезны.


Текущая конфигурация (без мелочей):

interfaces {
    bridge br100 {
        address y.y.y.1/24
    }
    ethernet eth0 {
        address x.x.x.178/30
        vif 100 {
            bridge-group {
                bridge br100
            }
        }
    }
    ethernet eth1 {
        bridge-group {
            bridge br100
        }
    }
    ethernet eth2 {
        address 10.10.0.1/16
    }
    loopback lo {
    }
}
services {
    nat {
        rule 1 {
            outbound-interface br100
            source {
                address 10.10.0.0/16
            }
            type masquerade
        }
    }
}
system {
    gateway-address x.x.x.177
}

Мы смогли решить эту проблему, заменив правило NAT на SNAT вместо маскарада.

В большинстве дистрибутивов, если они не настроены для работы в качестве маршрутизаторов, по умолчанию они будут отказываться пересылать IP-трафик. Обычно для такой работы я использую packetprotector (Linux, работающий на домашнем маршрутизаторе asus). Но вы захотите проверить настройки в /etc/sysctl.conf.

Найдите 'net.ipv4.ip_forward =', если вы хотите пересылать трафик, это значение должно быть установлено на 1 (если нет, то на «0»). При изменении файла здесь изменения сохранятся при перезагрузках и начнутся при запуске сетевых служб.

Я бы порекомендовал вам использовать pfSense.

У него действительно хороший веб-интерфейс.