Конфигурирование шлюза FreeBSD Internet

Что такое маршрутизатор?

Как и предполагает название, маршрутизатор - это сетевое устройство, опреде-ляющее маршрут пересылки дейтаграмм по сети к месту назначения. Это очень простое определение. Говоря точнее, маршрутизатор соединяет две сети и определяет, как дейтаграммы проходят из одной сети в другую.

ПРИМЕЧАНИЕ

Дейтаграмма - это пакет цифровой информации. Кроме передаваемых данных, датаграмма содержит информацию об адресе места назначения. Не все дейтаграммы проходят по одному и тому же маршруту, даже если у них одно место назначения и один источник.

В сети, представленной на рис 28.1, все хосты, lion, cheetah, tiger и puma, "знают" о существовании друг друга, и могут взаимодействовать в Нью-Йоркском офисе. В датском офисе хосты wolf, bear, fox и lynx также "знают" о существовании друг друга и могут взаимодействовать. Проблема в том, что эти сети изолированы. Хостам в Нью-Йорке ничего не известно о хостах в датском офисе, и наоборот. Нет способа передачи сетевой информации между этими двумя офисами. Чтобы можно было передавать данные между офисами, необходимо установить пару маршрутизаторов. На рис. 28.2 представлена та же сеть, но теперь в каждом офисе установлен маршрутизатор.

Та же сеть, но в офисахустановленымаршрутизаторы, связанныедруг с другом

После установки маршрутизатора необходимо сделать одно изменение на хостах сети - сообщить каждому из них о существовании маршрутизатора в офисе. (Подробнее о том, как сообщить хосту о существовании маршрутизатора, см. в главе 23.)

Итак, что же изменилось в сети? Хостам в Нью-Йоркском офисе по-прежнему ничего не известно о хостах в датском офисе, а те, в свою очередь, не "знают" о хостах в Нью-Йорке. Но появилось существенное различие. Теперь хосты в каждой из сетей "знают" о существовании в офисе маршрутизатора. Если хосты используют этот маршрутизатор в качестве стандартного, исходящие пакеты, предназначенные неизвестному хосту, будут просто посылаться маршрутизатору. Дальнейшее направ-ление сетевой информации к месту назначения - забота маршрутизатора.

Предположим, например, что хосту cheetah необходимо подключиться по сети к хосту lynx. Как уже было сказано, хосту cheetah не известно о существовании хоста lynx. Поэтому при необходимости отправить информацию на хост lynx хост cheetah просто передает ее на хост simba, который является маршрутизатором Нью-Йоркс-кого офиса. Хост simba "знает" о существовании хоста lynx, а также то, что направить информацию на хост lynx можно путем пересылки ее на маршрутизатор в Дании (хост falcon). Маршрутизатор в Дании затем направит информацию на хост lynx.

Этот пример сильно упрощен. В реальной ситуации (особенно при посылке инфор-мации на другой континент), будет задействовано несколько маршрутизаторов, переда-ющих информацию друг другу, пока она не достигнет места назначения. Если провести аналогию, маршрутизаторы можно рассматривать как службы управления воздушным движением, а информацию - как самолеты. Самолет по пути из Нью-Йорка в Данию будет вестись несколькими диспетчерскими службами, пока не приземлится в месте на-значения.

Хорошо. Ну, и зачем же маршрутизатор? Почему просто не сообщить хостам в Нью-Йорке о хостах в Дании, и наоборот, чтобы они могли взаимодействовать друг с другом непосредственно? Маршрутизаторы используют по двум причинам.

o Простота сопровождения. Эта проблема не кажется существенной при работе с восемью системами. Но представьте себе сеть масштаба Internet. При отсутствии маршрутизаторов каждая подключенная к сети система должна "знать", как связы-ваться с любой системой в сети. Очевидно, что при работе с миллионами систем сопровождение такого решения стало бы настоящим кошмаром.

o Сокращение нагрузки на каналы связи. Если бы два офиса были просто соединены одной большой сетью, то передаваемую по сети информацию пришлось бы посы-лать всем компьютерам. Если, например, хост lion посылает информацию хосту cheetah (оба хоста - в Нью-Йоркском офисе), она посылалась бы по кабелю через Атлантический океан в датский офис. И это при том, что хостам в Дании эта информация вовсе не нужна, поскольку предназначена не им. Представьте себе нагрузку на каналы связи, если при обмене информацией между двумя хостами по сети Internet, она посылалась бы каждому хосту, подключенному к Internet. Кроме того, трансокеанские выделенные линии достаточно дороги (оплата зависит от количества переданной информации). Это означает, что было бы расточительно использовать линию связи без необходимости. Маршрутизатор действует как "дверь", удерживающая в локальной сети информацию, предназначенную для локальных хостов. Только информация, предназначенная удаленному хосту, будет посылаться за пределы локальной сети. При этом повышается безопасность, поскольку локальная информация не рассылается по Internet.

Что такое шлюз?

В общесетевой терминологии шлюз - это маршрутизатор, позволяющий клиентам локальной сети обращаться к внешнему миру, - отсюда и название: "шлюз". Поэтому специалисты по сетям считают термины "стандартный маршрутизатор" и "шлюз" взаимо-заменяемыми. В нашем примере из предыдущего раздела маршрутизаторы simba и falcon можно назвать шлюзами.

Если подходить с технической точки зрения, только что данное определение шлюза неверно. В соответствии с техническим определением, шлюз - это маршрутизатор, ко-торый может пересылать пакеты между сетями двух различных типов. Однако этого определения уже практически никто не придерживается; не будем и мы. В этой главе будет использоваться общепринятое определение, а термины "стандартный маршрутизатор" и "шлюз" - как взаимозаменяемые.

Очень часто шлюз применяют, чтобы дать возможность использовать одно подключение к Internet несколькими хостами.

Что такое NAT?

Термин NAT - сокращение от Network Address Translation (преобразование сетевых адресов) - обозначает способ подключения к Internet нескольких хостов с использованием одного IP-адреса. Тонкости этого процесса выходят за рамки книги, но по сути процесс NAT организуется путем подключения шлюза NAT к соответствующей сети. Когда внутренние хосты хотят послать или получить информацию из Internet, их запрос проходит через шлюз NAT. Шлюз NAT "скрывает" внутренний IP-адрес и посылает все запросы подключенных к нему хостов в Internet как исходящие от одного IP-адреса (а именно, IP-адреса, принадлежащего шлюзу NAT). Ответы приходят также на один IP-адрес (принадлежащий шлюзу NAT). Шлюз NAT затем направляет данные соответствующему внутреннему хосту, которому вовсе не обязательно иметь зарегистрированный IP-адрес. Этот метод дает два основных преимущества:

o Экономятся IP-адреса. Пул IP-адресов - ограниченный ресурс. И нет причины тратить IP-адреса, когда без этого можно обойтись. Использование NAT позволяет не регистрировать IP-адрес для каждой из имеющихся в систем.

o Для домашних пользователей и небольших организаций этот метод позволяет со-вместно использовать одно подключение к Internet нескольким компьютерам, т.е. отпадает необходимость покупать дополнительные учетные записи у поставщика услуг Internet. Можно также совместно использовать единственный модем и одну телефонную линию, так что не придется устанавливать дополнительные телефонные линии, если необходим одновременный доступ к Internet нескольким компьютерам.

В этой главе мы рассмотрим несколько способов конфигурирования различных типов маршрутизирующих служб в ОС FreeBSD. Начнем с описания совместного использования одного модема для подключения к Internet нескольких компьютеров дома или в небольшом офисе.

Конфигурирование шлюза NAT в ОС FreeBSD

В этом сценарии обычно имеется единственное подключение к Internet, через модем или непосредственно. Есть несколько систем, которым необходим доступ к Internet. Пример представлен на рис. 28.3.

Разновидность этого варианта - учебный класс, в котором необходимо обеспечить беспроводный доступ к Internet для портативных компьютеров студентов. Эта разновидность конфигурации будет рассмотрена позже, поскольку для этого тоже требуется установка шлюза NAT.

В конфигурации такого типа система имеет два сетевых интерфейса. Например, рррО - модемный интерфейс, связывающий компьютер с Internet. Вторым обычно является интерфейс Ethernet (например, edO). Этот интерфейс связывает компьютер с внутренней сетью. Шлюз функционирует как "дверь" между этими двумя интерфейсами, передавая между ними пакеты. Он связывает внутреннюю сеть с Internet. Поступившая из Internet по интерфейсу рррО информация будет передаваться на интерфейс edO для пересылки соответствующему хосту сети. При поступлении информации, адресованной хосту в Internet, от хоста в локальной сети через интерфейс edO, она будет передана интерфейсу рррО для пересылки по сети Internet. Но прежде чем это станет возможным, необходимо включить перенаправление пакетов, чтобы информация могла переходить с одного интерфейса на другой.

Включение перенаправления пакетов

Для функционирования системы в качестве шлюза, необходимо, чтобы она могла перенаправлять пакеты с одного сетевого интерфейса на другой. Система будет обраба-тывать входящую и исходящую информацию Internet для других компьютеров сети, так что при поступлении пакета, адресованного не ей, он перенаправляется адресату. По умолчанию (и в соответствии со стандартами Internet) перенаправление пакетов отключено, поэтому ОС FreeBSD будет отбрасывать все получаемые пакеты, не предназначенные для соответствующего хоста.

Перенаправление пакетов можно включить одним из двух способов. Например, с помощью программы Sysinstall. Однако проще сделать это вручную, поскольку для включения перенаправления пакетов необходимо добавить всего одну строку в один файл. Мы рассмотрим именно этот метод.

Откройте файл /etc/rc.conf в любом текстовом редакторе и добавьте следующую строку:

gateway_enable="YES"

После перезапуска системы перенаправление пакетов будет включено, и система сможет передавать пакеты с одного сетевого интерфейса на другой.

Если все системы в сети имеют реальные статические IP-адреса, больше ничего делать не надо. Теперь можно конфигурировать другие системы в сети так, чтобы они использовали хост simba в качестве шлюза. Всю информацию, которую хосты не знают, как пересылать адресату, они будут передавать системе, сконфигурированной в качестве стандартного шлюза. О дальнейшей обработке этой информации позаботится стандартный шлюз.

ПРИМЕЧАНИЕ

В этом и последующих разделах предполагается, что система, конфигурируемая в качестве шлюза, уже подключена к Internet. Если это еще не сделано, обратитесь к главе 23, в которой описана настройка доступа к локальной сети (в этой главе также описано подключение к Internet через интерфейс ADSL или по выделенной линии). Если необходимо сконфигурировать подключение к Internet через модем, обратитесь к главе 24, где представлена дополнительная информация по настройке такого подключения.

В большинстве случаев, однако, при конфигурировании шлюза Internet другие системы в сети не будут иметь реальных зарегистрированных IP-адресов. Они будут просто использовать внутренние IP-адреса. Для обеспечения доступа этих систем к Internet необходимо включить преобразование адресов (NAT).

Включение NAT

При использовании протокола РРР для подключения к Internet по коммутируемой линии способ включения преобразования адресов будет зависеть от выбранной реа-лизации протокола - пользовательской (User РРР) или на уровне ядра (Kernel РРР). Если подключение к Internet еще не установлено, я рекомендую использовать в качестве базы для организации NAT реализацию User РРР, поскольку ее проще сконфигурировать для поддержки преобразования адресов.

Если используется реализация РРР на уровне ядра или необходимо настроить преобразование адресов для подключения к Internet не по протоколу РРР, придется применять более сложную процедуру.

Процедуру настройки NAT мы разделим на две части. Можете прочитать только ту часть, которая относится к используемой конфигурации

Использование реализации РРР пользовательского уровня

Программа реализации протокола РРР пользовательского уровня в ОС FreeBSD имеет встроенную возможность трансляции адресов NAT, поэтому включить ее очень легко. Для включения трансляции адресов достаточно указать опцию -nat при вызове ррр. Просто добавьте ее к остальным опциям, используемым для запуска протокола РРР (подробнее см. в главе 24).

Останется только сконфигурировать клиенты с ОС Windows, Macintosh и др. для использования нового шлюза. Эта задача будет подробно рассмотрена в разделе "Конфи-гурирование клиентов" этой главы.

Использование реализации РРР на уровне ядра или подключение к Internet по выделенной линии

При использовании реализации протокола РРР на уровне ядра или при наличии подключения к Internet по выделенной линии (ADSL, кабель, Tl, OC3) конфигурирование преобразования адресов несколько сложнее. В этом случае придется использовать демон NAT (natd), для работы которого требуется брандмауэр. Чтобы включить поддержку брандмауэра, потребуется построить новое ядро. Это, однако, сделать не-сложно. Можно просто добавить следующие две строки в файл конфигурации ядра:

options IPFIREWALL options IPDIVERT

Имеется ряд других опций, которые можно добавить в файл конфигурации ядра системы с поддержкой брандмауэра, например, обеспечивающих журнализацию. Детальное описание конфигурирования брандмауэров выходит за рамки этой главы, но, при необходимости построения нового ядра с поддержкой брандмауэра обратитесь к разделу "Конфигурирование брандмауэра" главы 29. В этом случае не придется создавать еще одно ядро, если в дальнейшем вы решите использовать какую-либо опцию брандмауэра, не включенную в ядро первоначально.

Если процесс построения ядра не вполне понятен, обратитесь к главе 17, где он описан подробно.

Создав новое ядро, необходимо включить демон natd.

Конфигурирование и включение демона natd

Демон natd можно включить либо путем соответствующего конфигурирования сетевых установок в программе Sysinstall, либо вручную, редактируя файл /etc/rc.conf. При на-личии уже работающей базовой сетевой конфигурации проще сделать необходимые из-менения вручную, а не проходить через все шаги программы, так что именно это метод и будет описан.

Откройте файл /etc/rc.conf в любом текстовом редакторе и добавьте следующие строки:

natd_enable="YES" natd_interface="pppO"

При задании значения параметра natd_interface в предыдущем примере предполагается, что имеется подключение к Internet через модем, и что ему соответствует интерфейс рррО. При наличии подключения по выделенной линии через устройство Ethernet (например по линии ADSL, кабелю, линии Т1 или ОСЗ) необходимо заменить рррО соответствующим сетевым интерфейсом, по которому осуществляется подключение к внешнему миру.

У демона natd есть еще несколько опций, управляющих функциями типа журнализации. Если вас интересуют другие опции, обратитесь к странице справочного руководства по демону natd.

Не выходите из редактора и не сохраняйте пока измененный файл rc.conf, поскольку необходимо добавить еще одну опцию. Речь идет о настройке брандмауэра.

Включение и конфигурирование брандмауэра

Необходимо добавить в файл /etc/rc.conf следующую стоку для обеспечения поддержки брандмауэра:

firewall_enable="YES"

Есть разные способы сконфигурировать правила брандмауэра - подробно это описано в главе 29. Ниже кратко описан метод, который я считаю наиболее подходящим. Кроме предыдущей строки, добавьте в файл /etc/rc.conf следующую: firewall_type="/usr/local/etc/firewall.conf"

Сохраните изменения, сделанные в файле /etc/rc.conf, и выйдите из редактора. Теперь можно создать файл /usr/local/etc/firewall.conf, в который поместить правила брандмауэра (кроме стандартного правила, запрещающего все, что не разрешено явно, - подробнее см. в главе 29).

Если вы хотите пропускать все пакеты, следующих правил в файле /usr/local/etc/ firewall.conf вполне достаточно:

add divert natd all from any to any via edO add allow all from any to any

Результат будет таким же, как если бы брандмауэра вообще не было, поскольку он пропускает все пакеты, ничего не запрещая.

Возможность для пользователей просматривать используемые системой правила бран-дмауэра может угрожать защите системы, поэтому права доступа к файлу нужно устано-вить так, чтобы читать его мог только пользователь root. Используйте для установки соответствующих прав доступа команду chmod 600 /usr/local/etc/firewall.conf.

ПРЕДУПРЕЖДЕНИЕ

Ранее описанные правила брандмауэра - очень опасны, поскольку разрешают прием пакетов любого типа от какого угодно источника и передают их системе, использующей соответствующий шлюз. Это угрожает защите сети. Поэтому не рекомендуется пропускать всю информацию. Обратитесь к разделу "Конфигурирование брандмауэра" в главе 29, где представлена инфор-мация о конфигурировании брандмауэра для блокирования потенциально опасных типов пакетов.

Выполнив описанные выше шаги, перезагрузите систему, чтобы изменения ядра были учтены и чтобы брандмауэр и демон natd запустились. Теперь шлюз сконфигу-рирован. Осталось только проинформировать клиентов о наличии шлюза. Конфигу-рирование типичных клиентов рассматривается в следующем разделе. Конфигуриро-вание клиентов других типов описано в документации соответствующей операционной системы.

Конфигурирование клиентов для использования нового шлюза

Процедуры конфигурирования клиентов для использования шлюза - различны и зависят от типа используемой на клиенте операционной системы. Мы рассмотрим кон-фигурирование клиентов Windows, Macintosh, FreeBSD и Linux.

Учтите: представленные далее инструкции по конфигурированию предполагают, что базовые сетевые службы уже сконфигурированы, и описывают только настройку системы для использования определенного шлюза. Если базовые сетевые службы в системе еще не сконфигурированы, инструкции о том, как это сделать, можно найти в документации системы.

В обеих версиях операционных систем вы можете сконфигурировать встроенную карту Ethernet, карту беспроводной связи AirPort или другое сетевое устройство. Не забудьте повторить этот процесс для всех задействованных устройств.

Конфигурирование клиентов FreeBSD

Чтобы сконфигурировать стандартный шлюз в ОС FreeBSD, добавьте следующую строку в файл /etc/rc.conf:

defaultrouter="64.41.131.162"

Конечно, придется заменить IP-адрес в предыдущем примере IP-адресом реальной системы с ОС FreeBSD, работающей в качестве шлюза.

Изменение не будет учтено, пока система не перезагрузится.

Если вы не хотите перезапускать систему, можете добавить стандартный маршрут вручную с помощью следующей команды, выполненной от имени пользователя root:

route add default 64.41.131.162

Конфигурирование беспроводного доступа к Internet

Беспроводный доступ к сети стал в последнее время очень популярен, поскольку не требуется ни прокладка кабелей, ни установка сетевых разъемов. Любой ПК, имеющий беспроводную сетевую карту, может работать с сетью. Многие переносные компьютеры уже имеют встроенные средства беспроводного доступа к сети.

Одно из наиболее типичных применений этой технологии - совместное использова-ние сети Internet в университетских аудиториях. Студент может работать с переносным компьютером за столом и иметь доступ к Internet через центральный сервер.

Конфигурирование ОС FreeBSD для работы в качестве беспроводного шлюза практи-чески идентично уже описанному конфигурированию обычного шлюза. Единственное отличие в том, что в системе FreeBSD должна быть установлена карта беспроводного доступа.

В табл. 28.1 представлен список беспроводных сетевых интерфейсов, поддерживаемых в настоящее время в ОС FreeBSD, а также соответствующие устройства, которые должны быть указаны в файле конфигурации ядра.

Таблица 28.1. Беспроводные сетевые интерфейсы, поддерживаемые в настоящее время в ОС FreeBSD

Беспроводный интерфейс Модули устройств ядра

Aironet 4500/4800 802.11 device an

карты на базе AMD Am79C930 device awi

Xircom CNU/Netware Airsurfer device cnw

Lucent WaveLan 802.11 device wi

Lucent WaveLan (только ISA) device wl

За исключением устройств cnw и wl, поддержка этих карт включена в стандартное ядро GENERIC. Так что, если не используется беспроводная сетевая карта, требующая устрой-ства cnw или wl, все уже готово для беспроводного подключения (если только не было создано специализированное ядро, из которого удалена поддержка соответствующих устройств).

Если все же необходимо построить новое ядро для поддержки используемой беспро-водной сетевой карты, обратитесь к главе 17, где этот процесс описан детально.

После того, как беспроводная сетевая карта заработает, проделайте все ранее описан-ные в этой главе процедуры конфигурирования шлюза и клиентов.

Маршрутизация между тремя и более сетями

Во всех рассмотренных ситуациях конфигурировался маршрутизатор с единственным маршрутом. Например, наш шлюз simba имеет единственное подключение к сети Internet и обслуживает только одну сеть. На рис. 28.8 представлена соответствующая диаграмма.

В этом примере, помимо обслуживания клиентов собственной сети, хост simba фак-тически выступает в роли поставщика услуг Internet для сети, обслуживаемой маршрутизатором falcon. Это означает, что хост simba теперь перенаправляет пакеты между тремя сетями. Чтобы добиться этого, необходимо добавить еще один маршрут на хосте simba, с информацией о том, какие пакеты необходимо перенаправлять в сеть, обслуживаемую хостом falcon, и как их туда направить.

Сеть, обслуживаемая хостом falcon, владеет блоком адресов класса С. Обратите внимание, что все адреса в сети имеют вид 205.211.117.хх. Учтите также, что хост falcon имеет IP-адрес 169.151.116.121. Чтобы хост simba перенаправлял пакеты для сети, обслуживаемой хостом falcon, необходимо добавить следующие строки в файл /etc/rc.conf.

defaultroute="212.214.Ill.59"

static_routes="falcon"

falcon="-net 205.211.117.0 169.151.116.121"

В данном случае IP-адрес 212.214.111.59 - это стандартный маршрутизатор для хоста simba. Другими словами, любые получаемые хостом simba пакеты, предназначенные неизвестным ему хостам, будут посылаться этому маршрутизатору. Хост с адресом 212.214.111.59 - маршрутизатор поставщика услуг Internet, обслуживающего хост simba.

Мы также добавили так называемый статический маршрут. Это статическая, или неизменная, запись в таблице маршрутизации. В данном случае мы сообщаем хосту simba, что все получаемые им пакеты, предназначенные хостам с базовым адресом 205.211.117.0, должны направляться по адресу 169.151.116.121. Это IP-адрес хоста falcon - маршру-тизатора в другой сети. Как видите, адреса всех хостов сети, обслуживаемой хостом falcon, имеют вид 205.211.117.ХХ. Поэтому любые пакеты, получаемые хостом simba и предназ-наченные одному из этих хостов, будут направляться хосту falcon, а не по стандартному маршруту на хост с адресом 212.214.111.59. Кроме того, любые пакеты, полученные хостом simba и предназначенные клиентам в его собственной сети, будут направляться непосредственно им, а не посылаться по стандартному маршруту.

Чтобы статические маршруты были учтены, необходимо перезагрузить систему. Пере-загрузка рекомендуется, но если не хотите, можете добавить статические маршруты вруч-ную, чтобы они были учтены немедленно. В предыдущем примере это можно сделать с помощью следующих команд, выполненных от имени пользователя root:

route add -net 205.211.117.0 169.151.116.121

Динамическая маршрутизация

До сих пор во всех представленных примерах использовались статические, т.е. никог-да не изменяющиеся, маршруты. Дело в том, что во всех этих примерах маршрутизаторы имели единственное подключение к Internet. Например, в предыдущем разделе, хост simba обращался к Internet через маршрутизатор своего поставщика услуг Internet. А хост falcon обращался к Internet через хост simba. В обоих случаях это были единственно доступные способы связи маршрутизаторов с Internet.

Иногда, однако, имеется несколько каналов выхода в Internet или несколько марш-рутов к одной и той же сети. В этих случаях статическая маршрутизация не вполне подходит. Необходима маршрутизация динамическая.

При динамической маршрутизации используется специальный демон и протокол мар-шрутизации, позволяющий выявлять новые маршруты и динамически добавлять их в таблицу маршрутизации. Кроме того, при динамической маршрутизации из таблицы так-же автоматически удаляются маршруты, которые более недействительны.

Для ОС FreeBSD имеется несколько демонов маршрутизации. В базовую систему FreeBSD включается демон routed. Это сравнительно старая программа, использующая весьма старый протокол маршрутизации RIP (Routing Information Protocol - протокол передачи маршрутной информации). Протокол RIP имеет ряд проблем с защитой, поэто-му для динамической маршрутизации есть более достойные демоны, чем routed. В набор портированных приложений ОС FreeBSD включены также демоны gated и zebra - оба находятся в подкаталоге net дерева портированных пакетов. Подробнее об установке программного обеспечения из набора портированных пакетов FreeBSD см. в главе 15.

Описание конфигурирования демонов маршрутизации выходит за рамки данной кни-ги. Дополнительную информацию можно найти на странице справочного руководства и в документации по выбранному демону маршрутизации.

Хорошая новость состоит в том, что вам скорее всего вообще не понадобится запускать демон маршрутизации. Как уже было сказано, демон маршрутизации ну-жен только при наличии нескольких маршрутов к одной сети (например, при нали-чии нескольких подключений к Internet). В противном случае рассмотренных выше записей статической маршрутизации вполне достаточно.

Маршрутизация в масштабе предприятия и демилитаризованная зона (DMZ)

Разновидностью описанного подхода к маршрутизации между несколькими сетями является концепция демилитаризованной зоны (DMZ), часто применяемая в производ-ственной среде.

Проблема в том, что некоторые системы (например, Web-серверы) за шлюзом должны иметь реальные IP-адреса, но все остальные системы должны использовать NAT. Обычно для этого используется шлюз с тремя сетевыми интерфейсами. Один интерфейс - связь с Internet, второй - для систем, использующих преобразование адресов NAT, а третий - для систем, которые не должны использовать NAT. Интер-фейс, обслуживающий системы с реальными IP-адресами, называют демилитаризо-ванной зоной (Demilitarized Zone - DMZ}. Подробнее о настройке зоны DMZ см. в главе 29.

Обновлено: 12.03.2015