Сейчас вообще оставил без указания интерфейсов out и как либо сетей в src, вопрос на сколько это правильно? Хотя в таком случае все четко работает, (2 провайдера)
Softer, прошу прощения за глупый вопрос , что в этом плохого и почему в этом случае все работает?дуступ есть в нужные подсети и нету в ненужные. Всего 5 сетей, 4 из них во vlan
Потому что "НАТит" между сетями, а не маршрутизирует.
Т.е. простыми словами - если сеть А видит сеть Б чрез роутер Р то при маршрутизации хост в Б будет видеть адрес хоста сети А, а в случае НАТа - адрес роутера Р. Надеюсь не запутал :)
В общем работать то оно будет, но подход сам по себе не верный.
Softer, боюсь тогда у меня в корне все не верно настроенно! Скажите а если пришлю конфиг что бы вы глянули, может наставили на путь истинный ? Естественно не за бесплатно !
Softer, dc
Сеть 10 имеет доступ в интернет и полность изолоирована от всех других
сеть 1 для управления оборудованием, есть доступ в эту подсеть только у администратора (адрес 150.10)
сеть 100 для телефонии телефоны и 2 астериска в ней имеет доступ только администратор (адрес 150.10)(тут проблемы.....)
сеть 150 общая сеть для пользователей имеет доступ в инет, не пересекается с другими сетями
сеть 140 так же имеет доступ в интернет и имеет доступ только к адресу 150.204
вкратце так
Олег Шевченко,
* Каждая сеть представлена 1 интерфейсом (vlan, eth etc).
* Допустим у Вас 10.0.0.0/8 в локалке (суммарно).
* Между сетями работает обычный роутинг, доступы управляются через цепочку forward.
* Между сетью и инетом работает NAT (snat или masquerade).
* Можно написать 2 правила (для каждого провайдера) - src=10/8 dst-interface=ether1. В принципе как небольшой костыль можно написать src=10/8 dst != 10/8 action=masquerade.
* Доступы для NAT управляются так же через forward.
Спасибо! Но блиин что то не понятно ...про 10/8 , извиняюсь за свою тупость ...ладно буду пытаться понять то что вы сказали, и применить на свой конфиг
Простой
