Изпечатай

[manbg]

Здравейте! Искам да попитам дали има и друг начин за използване на реални статични IP в локална мрежа след линукс рутер.
Идеята е следната.Имаме си локална мрежа съседи, и реални статични адреси от достачика ни.Всичко трябва да минава през рутера а и да има възможност за контрол (трафик контрол, firewall,вътрешен WEB  сървър и т.н.).Вариантите които аз знам засега са:
1. Директно кабела на доставчика в лана на блока - не става!
2. Линукс рутера (то вече няма да е рутер) като Бридж - не става, най-малкото което е че не работи FORWARD на iptables
2. Редирект на целия трафик от реално статично IP  към вътрешно т.н. частно IP -  не става, иди обяснявай че адреса на човека е 94.X.X.X  а не 192.168.X.X, след като вижда че на машината си има 192.168.....
3. С използване на proxy_arp. Така работи сега и то чудесно засега , НО изникват няколко въпроса.Всички компютри от локалната мрежа излизат в интернет с един си същи MAC адрес, този на лан картата към доставчика.Дали това не е по някакъв начин опасно? В смисъл че ако някой сайт реши да блокира този MAC, то ще ни бликира всички?, или пък поради някаква друга причина от характер на сигурноста. Въпреки че като се замисля, то при NAT  тогава всички сме е едно реално IP, само с различни MAC (не съм сигурен дали NAT  не сменя и MAC адреса).
Някой знае ли друг начин да се направи това което искам под линукс?

[manbg]

тестовия  сървър, имитирам реални ip та:
мрежа 192.168.0.0, гейт за нет 192.168.0.1
на рутера:

ifconfig eth0 192.168.0.150 up
ifconfig eth1 192.168.0.160 up
echo 1  > /proc.........../eth0/proxy_arp
echo 1  > /proc.........../eth1/proxy_arp
route add -host 192.168.0.50 gw 192.168.0.160
route add default gw 192.168.0.1

на моя компютър слагам статично 192.168.0.50  гейт 192.168.0.160 маска 255.255.255.0 и днс ми, закачам го към платката с адрес 192.168.0.160 , а другата платка в суича на локалната мрежа, така работи без грижа и нет и цялата мрежа си я виждам.
ако сложа на echo 0 >  не работи, няма нет, няма мрежа
Дали може да се подкара без това proxy_arp?

[tolostoi]

... В смисъл че ако някой сайт реши да блокира този MAC, то ще ни бликира всички? ...

Човек, това е нормалната постановка, никой, ама никой не блокира по мак адрес, понеже те и без това се виждат до първия рутер, дали твоя дали на доставчика ... същата работа, щом бачка не пипай.

[nikolaj_i]

А не става ли така
-A POSTROUTING -s 192.168.1.1. -o eth1 -j SNAT --to-source 53.53.53.1
-A POSTROUTING -s 192.168.1.2. -o eth1 -j SNAT --to-source 53.53.53.2
и т.н.

[manbg]

Така става но не искам, защото клиетските компютри ще бъдат с частно IP което ще си настройват, а хората искат да си е реално статично.Сега открих , че работи и без proxy_arp. NO:))само за няколко минути, така има интернет, но не се виждат другите ком. от локалната мрежа,  даже и 192.168.0.1 не може да се пингне. Но интернет си има до момента в който arp  таблицата на рутера ни запише новия mac , нали вече не би трябвало да съм с mac на лан картата от тестовия рутер а да съм си с вече мое истински mac!!! само че явно линуска не знам защо не дава да мине моя mac адрес? защото в  момента в който се обнови arp на реалния рутер за интернет (Бразил firewall)  и нета ми спира - записа в arp  показва че mac  ми е 00:00:00:00:00:00

[Astor]

Здравейте, @nikolaj_i до колкото разбирам от manbg:

не става, иди обяснявай че адреса на човека е 94.X.X.X  а не 192.168.X.X, след като вижда че на машината си има 192.168.....

А не става ли както го правят достачиците на интернет предлагащи реални IP адреси на потребителите си добавяне на няколко реда в рутиращата таблица на рутера за всеки един публичен IP адрес:
route -add Public_net netmask Mask_Public_net dev ethX

[manbg]

точно това тук на работата ми не мога да пробвам, защото както описах по горе ДА става но само за малко, защото тествам от локалната ми мрежа и минавам през действащия ни рутер а той не искам да ме пусне после след като си опресни arp таблицата - както написах - мисли че моя mac e само нули и не ме пуска.Трябва да го пробвам у дома.

[Neo2SHYAlien]

echo "1"  > /proc/sys/net/ipv4/ip_forward

по тоя начин си пускаш да минават пакети между интерфеисите и няма да правиш nat и си готов