Сетевой мост

@TheSecret · Регистрация: 20.09.2013

Студворк — интернет-сервис помощи студентам

Здравствуйте!
Есть сервер на debian с 3 сетевыми картами
eth0 - интернет
eth1 - внешняя сеть
eth2 - внутренняя сеть

во внутренней сети работает dhcp+squid
нужно некоторые машины которые сейчас получают адрес с внутренней сети, перевести на внешнюю сеть чтоб они с нее получали адреса
подскажите возможно ли это реализовать и как

murderer · 17.12.2017, 16:33

Я уже поднимал такую тему, но никто не откликнулся.

В общих чертах представляю так:
1) Объединить eth1 и eth2 в мост
2) Запретить входящие UDP-пакеты на порт 67 с eth1. Таким образом клиенты внешней сети не получат ip из внутренней.
3) Запретить исходящие UDP-пакеты на порт 68 с src-ip внутреннего сервера на dst-mac избранных клиентов. Таким образом избранные клиенты не получат ответ от внутреннего сервера, но получат от внешнего.
4) Запретить исходящие UDP-пакеты на порт 68 с src-ip внешнего сервера на dst-mac остальных клиентов. Таким образом остальные клиенты не получат ответ от внешнего сервера, но получат от внутреннего.

@danista · 17.12.2017, 21:13

2) Запретить входящие UDP-пакеты на порт 67 с eth1.
Но у вас же уже мост настроен, как он будкт принимать пакеты?

murderer · 20.12.2017, 07:07

Я подумал, что если в Mikrotik`е есть Bridge filter, то и в Debian должен быть аналог.

@danista · 20.12.2017, 13:06

Я хотел бы понять как это работает. Мне казалось, что когда объединяются два интерфейса, то обращаться в правилах можно только к br0 интерфейсу?

murderer · 22.12.2017, 05:08

Похоже это делается через ebtables.

Новые блоги и статьи Все статьи Все блоги /
YAFU@home — распределённые вычисления для математики. На CPU Programma_Boinc 20.01.2026 YAFU@home — распределённые вычисления для математики. На CPU YAFU@home — это BOINC-проект, который занимается факторизацией больших чисел и исследованием aliquot-последовательностей. Звучит. . .	http://iceja.net/ математические сервисы iceja 20.01.2026 Обновила свой сайт http:/ / iceja. net/ , приделала Fast Fourier Transform экстраполяцию сигналов. Однако предсказывает далеко не каждый сигнал (см ограничения http:/ / iceja. net/ fourier/ docs ). Также. . .	http://iceja.net/ сервер решения полиномов iceja 18.01.2026 Выкатила http:/ / iceja. net/ сервер решения полиномов (находит действительные корни полиномов методом Штурма). На сайте документация по API, но скажу прямо VPS слабенький и 200 000 полиномов. . .	Расчёт переходных процессов в цепи постоянного тока igorrr37 16.01.2026 / * Дана цепь постоянного тока с R, L, C, k(ключ), U, E, J. Программа составляет систему уравнений по 1 и 2 законам Кирхгофа, решает её и находит: токи, напряжения и их 1 и 2 производные при t = 0;. . .
Восстановить юзерскрипты Greasemonkey из бэкапа браузера damix 15.01.2026 Если восстановить из бэкапа профиль Firefox после переустановки винды, то список юзерскриптов в Greasemonkey будет пустым. Но восстановить их можно так. Для этого понадобится консольная утилита. . .	Сукцессия микоризы: основная теория в виде двух уравнений. anaschu 11.01.2026 https:/ / rutube. ru/ video/ 7a537f578d808e67a3c6fd818a44a5c4/	WordPad для Windows 11 Jel 10.01.2026 WordPad для Windows 11 — это приложение, которое восстанавливает классический текстовый редактор WordPad в операционной системе Windows 11. После того как Microsoft исключила WordPad из. . .	Classic Notepad for Windows 11 Jel 10.01.2026 Old Classic Notepad for Windows 11 Приложение для Windows 11, позволяющее пользователям вернуть классическую версию текстового редактора «Блокнот» из Windows 10. Программа предоставляет более. . .

@TheSecret 12 / 27 / 12 Регистрация: 20.09.2013 Сообщений: 601

	Сетевой мост 15.12.2017, 18:46. Показов 2113. Ответов 5 Метки нет (Все метки) Здравствуйте! Есть сервер на debian с 3 сетевыми картами eth0 - интернет eth1 - внешняя сеть eth2 - внутренняя сеть во внутренней сети работает dhcp+squid нужно некоторые машины которые сейчас получают адрес с внутренней сети, перевести на внешнюю сеть чтоб они с нее получали адреса подскажите возможно ли это реализовать и как 0

murderer 4190 / 1838 / 221 Регистрация: 06.10.2010 Сообщений: 4,124
	17.12.2017, 16:33
	Я уже поднимал такую тему, но никто не откликнулся. В общих чертах представляю так: 1) Объединить eth1 и eth2 в мост 2) Запретить входящие UDP-пакеты на порт 67 с eth1. Таким образом клиенты внешней сети не получат ip из внутренней. 3) Запретить исходящие UDP-пакеты на порт 68 с src-ip внутреннего сервера на dst-mac избранных клиентов. Таким образом избранные клиенты не получат ответ от внутреннего сервера, но получат от внешнего. 4) Запретить исходящие UDP-пакеты на порт 68 с src-ip внешнего сервера на dst-mac остальных клиентов. Таким образом остальные клиенты не получат ответ от внешнего сервера, но получат от внутреннего. 0

@danista 0 / 0 / 0 Регистрация: 02.10.2017 Сообщений: 7
	17.12.2017, 21:13
	2) Запретить входящие UDP-пакеты на порт 67 с eth1. Но у вас же уже мост настроен, как он будкт принимать пакеты? 0

murderer 4190 / 1838 / 221 Регистрация: 06.10.2010 Сообщений: 4,124
	20.12.2017, 07:07
	Я подумал, что если в Mikrotik`е есть Bridge filter, то и в Debian должен быть аналог. 0

@danista 0 / 0 / 0 Регистрация: 02.10.2017 Сообщений: 7
	20.12.2017, 13:06
	Я хотел бы понять как это работает. Мне казалось, что когда объединяются два интерфейса, то обращаться в правилах можно только к br0 интерфейсу? 0

murderer 4190 / 1838 / 221 Регистрация: 06.10.2010 Сообщений: 4,124
	22.12.2017, 05:08
	Похоже это делается через ebtables. 0