LINUX.ORG.RU
ФорумAdmin

eth0 и eth1 из одной сети


0

1

Была сеть:
VipNet (10.40.1.1) -> Linux (10.40.1.2, 10.15.1.1) -> локальная сеть.
В локальной сети есть Web-сервер, сделан DNAT c Linux.
Linux использует NAT для выхода всей сети наружу,
10.40.1.2 транслируется во внешний ip где-то перед VipNet.

По новой схеме:
- локальная сеть подключена сразу к VipNet;
- каждый клиент имеет два адреса 10.40.1.X/10.15.1.X;
- Linux (10.40.1.2, 10.15.1.1) обоими интерфейсами подключен к локальной сети;
- Web-сервер в локальной сети, включен DNAT из Linux.

Попытался избавиться от адресов 10.15.1.X.
На Linux присвоил обоим интерфейсам адреса локальной сети:
10.40.1.2/24 и 10.40.1.12/24.
Шлюз по-умолчанию 10.40.1.1 c интерфейса 10.40.1.2.

Нормально Linux не заработал, поэтому вопрос:
Можно ли давать интерфейсам адреса одной сети,
при включенном NAT и iptables?


> Можно ли давать интерфейсам адреса одной сети,

Нет.

при включенном NAT и iptables?


Это не важно.

AS ★★★★★
()
Ответ на: комментарий от AS

А если шлюз прописан только на одном интерфейсе.

Есть другой выход, кроме присвоения адресов одной сети?

WinLin
() автор топика
Ответ на: комментарий от WinLin

Тут надо начинать с изучения адресации и маршрутизации в сетях TCP/IP.

AS ★★★★★
()

> Можно ли давать интерфейсам адреса одной сети,
при включенном NAT и iptables?

А правила маршрутизации сами придумаются? Сделай лучше мост.

melkor217 ★★★★★
()

Сейчас eth1 нужен для SNAT нескольких клиентов и DNAT одного сервера.
Можно ли обойтись одним eth0 для этих целей и безопасность соблюсти?

WinLin
() автор топика

> обоими интерфейсами подключен к локальной сети

это зачем? Так может ещё путаница с arp возникнуть. В принципе можно на каждый интерфейс прописать просто адрес без маски, и маршруты к каждой машине в локальной сети прописать с флагом onlink через один или другой инерфейс. Но я пока так и не понял, чего хочется достичь?

mky ★★★★★
()
Ответ на: комментарий от WinLin

Возможен ли NAT при наличии одного интерфейса?

Возможен. Только сложно будет отличать пакеты, какие откуда пришли.

mky ★★★★★
()
Ответ на: комментарий от WinLin

Относительно безопасности решать вам, а так, можно дать на eth1 10.40.1.12/24, на eth0 10.40.1.0/30. Или на eth0 10.40.1.2/32 и прописать маршрут «ip route add default via 10.40.1.1 dev eth0 onlink»

И нужно отключить ненужные ответы на arp череp /proc/sys/net/ipv4/conf/$DEV/arp_filter.

mky ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.