Eu tenho roteador baseado no FreeBSD no meu campus.
Configuração trivial para esses tipos de roteadores: duas interfaces, uma delas olhando para a internet externa, segunda - para a rede local.
Na minha rede local há três sub-redes: 192.168.0.0/24, 192.168.1.0/24, 192.168.200.0/24.
ipfw configurado para nat transparente, encaminhamento sysctl ativado.
Interface local configurada para três aliases de IP: 192.168.0.1, 192.168.1.1 e 192.168.200.1 de acordo com as sub-redes. Também está conectado ao único comutador HP gerenciável para l2. Alternar configurado por padrão para uma única vlan.
De 192.168.0.0/24 clientes de sub-rede eu posso alcançar 192.168.1.0/24 clientes e vice-versa. Mas para os clientes em 192.168.200.0/24 as outras duas sub-redes estão inacessíveis, apesar do fato de que a Internet está disponível através do gateway padrão 192.168.200.1.
Por design inicial, todas as sub-redes internas devem estar acessíveis umas às outras.
saída do netstat -rn
no roteador do FreeBSD:
Routing tables
Internet:
Destination Gateway Flags Netif Expire
default xxx.xxx.xxx.xxx UGS xl0
127.0.0.1 link#4 UH lo0
192.168.0.0/24 link#1 U bge0
192.168.0.1 link#1 UHS lo0
192.168.0.2 link#1 UHS lo0
192.168.1.0/24 link#1 U bge0
192.168.1.1 link#1 UHS lo0
192.168.200.0/24 link#1 U bge0
192.168.200.1 link#1 UHS lo0
xxx.xxx.xxx.xxx/30 link#3 U xl0
xxx.xxx.xxx.xxx link#3 UHS lo0
Saída para o ipfw
:
00050 1123362356 950030754266 nat 123 ip4 from any to any via xl0
00100 26229559 14516116395 allow ip from any to any via lo0
00200 0 0 deny ip from any to 127.0.0.0/8
00300 0 0 deny ip from 127.0.0.0/8 to any
00400 0 0 deny ip from any to ::1
00500 0 0 deny ip from ::1 to any
00600 0 0 allow ipv6-icmp from :: to ff02::/16
00700 0 0 allow ipv6-icmp from fe80::/10 to fe80::/10
00800 0 0 allow ipv6-icmp from fe80::/10 to ff02::/16
00900 0 0 allow ipv6-icmp from any to any ip6 icmp6types 1
01000 0 0 allow ipv6-icmp from any to any ip6 icmp6types 2,135,136
65000 734630742 621499874050 allow ip from any to any
65535 9 589 deny ip from any to any