A maneira que fomos capazes de resolver isso foi mudar a regra NAT para um SNAT em vez de um mascarado.
Estamos tentando configurar uma caixa Linux / BSD / etc que pode se comportar como um gateway da Internet e como um roteador. Eu não sei como articular muito bem nossa situação, então, por favor, me perdoe ...
Atualmente, estamos usando o Vyatta com as seguintes interfaces de rede (com endereços IP mascarados):
eth0
- > x.x.x.178 / 30 - WAN (roteador upstream: x.x.x.177)
vlan100
- > Anexado a eth0
br100
- > y.y.y.1 - Pontes eth0.vlan100 e eth1 eth1
- > y.y.y.y / 24 - Preenchido com a WAN (x.x.x.178 é o roteador upstream para esta sub-rede) eth2
- > 10.10.0.1/16 - Rede privada, NAT até y.y.y.1 O problema é: quando configuramos a regra NAT para rotear o tráfego 10.10.0.0/16 através de br100
, nada é roteado. No entanto, se definirmos a regra NAT para rotear por eth0
, o tráfego realmente será roteado, mas agora ele é originado do endereço x.x.x.178 em vez do endereço y.y.y.1.
O que estou fazendo de errado aqui? Quaisquer pensamentos ou sugestões seriam úteis.
Configuração atual (menos algum fluff):
interfaces {
bridge br100 {
address y.y.y.1/24
}
ethernet eth0 {
address x.x.x.178/30
vif 100 {
bridge-group {
bridge br100
}
}
}
ethernet eth1 {
bridge-group {
bridge br100
}
}
ethernet eth2 {
address 10.10.0.1/16
}
loopback lo {
}
}
services {
nat {
rule 1 {
outbound-interface br100
source {
address 10.10.0.0/16
}
type masquerade
}
}
}
system {
gateway-address x.x.x.177
}
Na maioria das distro, a menos que sejam configurados para servir como roteadores, eles serão padronizados para o comportamento de se recusar a encaminhar o tráfego IP. Geralmente eu uso um protetor de pacotes (linux rodando no asus home router) para tal trabalho. Mas você vai querer verificar as configurações em /etc/sysctl.conf.
Procure por 'net.ipv4.ip_forward =', se você deseja encaminhar o tráfego, esse valor deve ser definido como 1 (se não for '0'). A alteração do arquivo aqui fará com que a alteração persista nas reinicializações e será iniciada quando os serviços de rede forem iniciados.
Recomendamos que você use o pfSense .
Tem uma interface muito boa baseada na Web.