ситуация такая:
есть сетка А — локальная, так называемый интранет.

есть сетка Б — она подключена к Инету1 (в основном зарубежный трафик)

есть сетка С — она подключена к Инету2 (это внутригородской трафик и почта)

все сетки подключены к софтовому маршрутизатору Х (он же выполняет функцию firewall).

для сетки А текущим шлюзом везде прописан маршрутизатор Х. и уже маршрутизатор Х отправляет "мальчиков" в сетку Б, а "девочек" в сетку С.

а теперь самое интересное:
есть комп в сетке А, который все время должен ходить в Инет через сетку С!!!!!
(конечно самое простое решение — это вынести комп в сетку С, но тогда на нем надо отдельно поднимать firewall, да и сетка не моя, а хотелось бы в случае ее падения иметь комп все же в рабочем состоянии и перенаправить травик через сетки Б).

Так вот может кто поделится светлой мыслью черз какие фильтры можно реализовать замысел (если он вообще реализуем)?

[Исправлено: AndreyPopov : 25-11-2003 20:19]

Ну блин, если на Х стоит виндоза, от всё очень просто: надо сделать батник с командами route add с нужными путями (синтаксис см. route /?) и вставить его в автозагрузку, если линух -- то покалечить настройки роутера.

vaso роуте адд в автозагрузку вставлять не нужно — пути добавляются навсегда при использовании ключика -p. А идея интересная

Micca
Так удобнее их редактировать, если ситуёвина меняется. Ессессно надо учесть работу ДХПЦ, если он есть конечно, поднастроить его, а если ареса статические -- то вообще без проблем. Но это всё -- для виндозы. С тварью -- так там еще всё проще и прозрачнее.

vaso да стоит W2K3 с поднятым Routing service, тока там везде фигурирует параметр destination (куда роутить), gateway (шлюз куда посылать трафик) и interface (который это все дело отсылает)при поднятом Routing service это все делается красиво в графической оболочке консоли , а мне надо, чтобы было описано ОТКУДА этот interface будет брать, а уж потом куда посылать.
вот и стоит задача, чтобы с одного компа пакеты не делились на "мальчиков" и "девочек", а всегда топали "налево."?

AndreyPopov С W2K3 к сожалению совсем вообще не знаком А что, если не запускать этот новый серваёс, а сделать все по-старинке?

vaso при инициализации этого сервайса:
во-первых включается сама маршрутизация (IP Forwarding), который по умолчанию выключен во всей серии.
во-вторых, вместо командной строки можна теперь пользоваться "удобным" графическим интерфейсом
в-тнретьих можно попользовать разные протоколы маршрутизации на основе DHCP, IMGP, RIP и OSPF и побаловться NAT (если есть желание).


W2K3 — ничем от W2K не отличается, все тоже.

так вот: если — если ареса статические -- то вообще без проблем. Но это всё -- для виндозы —
[b]вот и стоит задача, чтобы с одного компа пакеты не делились на "мальчиков" и "девочек", а всегда топали "налево."?[b]

даже через route add — я пока не представляю как?

AndreyPopov
<I>при инициализации этого сервайса:
во-первых включается сама маршрутизация (IP Forwarding), который по умолчанию выключен во всей серии.
во-вторых, вместо командной строки можна теперь пользоваться "удобным" графическим интерфейсом
в-тнретьих можно попользовать разные протоколы маршрутизации на основе DHCP, IMGP, RIP и OSPF и побаловться NAT (если есть желание).</I>
Ну, как бы сам не видел, но, наверное некрософт -- для себя считает это большим прорывом . ИМХО (уверен, так считают и многие другие), что сетевые сервисы -- не предмет баловства и экспериментов с пользовательскими интерфейсами. Некрософт здесь весьма далёк от совершенства. Думаю трабл -- в маршрутизирующем сервайсе. Я бы лучше для маршрутизации в Виндовс воспользовался прогами сторонних производителей (напр. Fortech, IMHO), а еще лучше -- ОС Линух, а еще лучше -- железкой "Цыско".

vaso — а еще лучше -- железкой "Цыско". — оно конечно железкой лучше, но меня интересцет даже пример решения моей проблемы пусть даже на железной Cisco?

AndreyPopov
на линуксе это делается не просто, а очень просто, с помощью iproute2, т.е. стандарнтыми средствами. ключевое слово-"маршрутизация по источнику".

Действительно, куда уж проще: достаточно роутить с "IP_COMP_A" на "IP_NET_C", только это правило должно стоять выше, чем роустнг всей сети А.

S-e-r-g-e только где это и как прописать?

AndreyPopov
А вот это я точно не скажу, т.к. подобными вещами занимался только в Линухе. По идее, это надо прописать в таблицу route — что-то типа route add 192.168.1.21 mask 255.255.255.250 100.100.100.100 metric 1 if 2 — здесь 192...21 — адрес компа, 100...100 — адрес сети С, 2 — сетевуха на сеть С. А вот metcric, кажись, и задает приоритет обработки правила. Да, и в файрволе все это тоже указать надо. Кстати, можно вообще только в нем и зарубить хождение пакетов от этого компа в сеть Б!

вот пример роутинга — две машины, одна в домене(10.ххх), вторая — вне домена (9.ххх). Друг друга не видят.
На машине в домене вводим:
route -p add 192.168.9.0 mask 255.255.255.0 192.168.10.1

192.168.9.0 — сетка без домена (воркгрупп) в где-то не в домене (пусть будет интранет)
192.168.10.1 — шлюз домена.

теперь я вижу домен из сетки в где-то и наоборот. Но! "видимость" есть только на той машине, где я добавлял маршрут — что, в принципе, и должно быть
маршрут добавлял наш админ, рассказывать что и как времени ук него небыло, как обычно Мне это пока не сильно интересно (да и времени не особо много) — поэтому строчку я сохранил до лучших времён.
Но у нас всё железное

Глупый вопрос — если маршрутизатор софтовый — нельзя ли ему сказать, что ИП такой-то должен роутиться в сетку С?

Цитата:

---

>теперь я вижу домен из сетки в где-то и наоборот. Но! "видимость" есть только на той машине, где я добавлял маршрут — что, в принципе, и должно быть \

---

На машине вне домена вводим:
route -p add 192.168.10.0 mask 255.255.255.0 192.168.9.1

т.е., добавляем маршрут с другого конца, дальше -- уже вопрос авторизации

S-e-r-g-e — Кстати, можно вообще только в нем и зарубить хождение пакетов от этого компа в сеть Б! — зарубить не проблема, ведь не факт, что после зарубки на сетку Б пакеты побегут в сетку С.


Micca — что ИП такой-то должен роутиться в сетку С? — это то меня как раз и интересует.


<I>На машине вне домена вводим:
route -p add 192.168.10.0 mask 255.255.255.0 192.168.9.1 </I> — это все маршрутизация на направление, с этим все как бы ясно. непонятно как маршрутизацию по источнику сделать?

AndreyPopov не знаю, это делала не я Я просто спросил, как это делается в принципе.
снова спрошу — если маршрутизатор софтовый, то почему там нельзя указать, что кампутер с таким-то ИП должен роутиться в другую сетку?