Разводной мост на Linux (Bridging Firewalls)

Павел Закляков

Для подключения телекоммуникационных сетей к Интернету провайдер на целую сеть обычно выделяет всего лишь один реальный IP-адрес, а далее вы организуете у себя компьютер-шлюз, за которым располагаете вашу сетку с адресами вида 192.168.x.x (либо 172.16.0.0/12, либо 10.0.0.0/8) из RFC 1918. На компьютере-шлюзе обычно имеется две сетевые карты, поднимаются прокси-сервера тех или иных сервисов либо NAT (трансляция адресов или маскарадинг), либо всё сразу. Такая конфигурация встречается очень часто, поэтому в литературе хорошо описано, что и как настраивать. Однако в случае, когда все адреса, выделенные провайдером, являются реальными, существует несколько решений по организации сети. В литературе об этом пишут меньше, поэтому об одном весьма удобном способе организации я и попробую рассказать.

Ситуация с адресами на сегодняшний день критическая, в том смысле, что IP-адресов v.4 не хватает, а конечные пользователи никак не планируют свой переход на IP v.6.

С одной стороны, хорошо, если все компьютеры в сети будут иметь реальные адреса. Но с другой, это породит и часть проблем, таких как сокрытие внутренней организации сети, сокрытие числа пользователей в сети, расходуемого ими трафика и получаемых в итоге доходов. Удобно, когда все внутренние хосты маскируются за одним адресом, поэтому это очень популярно у нас в России. Также это удобно с точки зрения настройки. В случае смены провайдера (или внешнего IP-адреса) менять настройки придётся на одном компьютере, а не на всех компьютерах внутренней сети. Хотя бывают случаи, когда упрощения процесса перенастройки не происходит (если используются DNS- и SMTP-сервера провайдера). Возникает логичный вопрос: «А как следует правильно развивать сети, чтобы иметь при этом меньше проблем?». Однозначного ответа на этот вопрос дать нельзя. Вопрос о том, что лучше: реальные (легитимные) или маскируемые (нелегитимные) адреса и как их использовать, на мой взгляд, заслуживает отдельной статьи. Поэтому дискуссию по этому вопросу я предлагаю перенести на форум сайта журнала.

Итак, вам предстоит работать с реальными адресами. Правила организации сетей никто не отменял, и если вам нужен всего лишь один IP-адрес, то реально провайдер выделяет вам подсетку из 4-х адресов. Запишем адрес в двоичном виде и посмотрим только на два последних бита в двоичной записи: 00 – адрес сети; 11 – широковещание (broadcast), а два оставшихся – 01 и 10 – ваши адреса. Так как для общения с внешним миром в вашей сетке обязательно должен быть шлюз, которому также надо выделить один реальный адрес, пусть им будет 01. В результате для нас остаётся один-единственный адрес, заканчивающийся на 10.

Небольшое замечание: при подсчёте трафика провайдер будет суммировать всё, что будет попадать на все адреса сети, в последнем примере – это 4 адреса, а не тот один, который присвоен вашему компьютеру. Так что это следует учесть и не удивляться, что при правильном учёте трафика ваши данные и данные провайдера будут расходиться не в вашу пользу. Но, как известно, всегда бывают исключения.

Если же провайдером выделяется несколько большая подсесть, скажем, в два раза большая, то реально будет выделено не 8, а 8-3=5 адресов. Иметь 8 адресов подряд куда более выгоднее, чем 4+4. Вот вам и арифметика – «1+1=5». Если адресов будет 16, то возможных к использованию будет уже 16-3=13 и т. д. Обычно большие сети делятся на подсети, если адресов много, то потери невелики, и от деления получается только выгода. А вот если поделить 8 адресов, то явно будут большие потери. Легко понять, что потери кроются вроде как в лишнем адресе подсети и лишнем адресе для шлюза. Каким образом поделить сеть, чтобы не терять адреса? Это мы и попытаемся сделать. Довольно часто бывает, что шлюз, используемый в провайдерской сети, не имеет большого числа настроек, либо вообще находится на попечении провайдера и не подвластен для вашего контроля. Поэтому областью наших настроек и экспериментов будет все, что находится за зтим шлюзом.

Ограничим область наших действий. Для этого предлагаемые советы по организации нелегитимной сети следует сразу отклонить. Компьютеры внутри сети должны иметь реальные адреса. Для подсчёта трафика можно поставить хаб у шлюза и, подключив к нему сниффер, можно будет считать трафик – это выход. Но что делать, если надо какой-то пакет не пропустить? Скажем, если надо иметь небольшой межсетевой экран (МЭ), а не только подсчёт трафика.

Собственно, зачем нужно разделение сетей на подсети? Именно для того, чтобы одни другим «не мешали».

У многих для решения этого вопроса часто приходит в голову мысль: а почему бы не поставить компьютер с двумя сетевыми карточками. С одной стороны его надо соединить со шлюзом, а с другой стороны к нему подключить все компьютеры сети. Решение, вообще говоря, правильное, но далее начинаются проблемы. (Для удобства изложения наш компьютер «посередине» назовём межсетевым экраном (МЭ), а так как на нём стоит Linux, то будем называть его также и Linux.) Если вы хоть раз сталкивались с тем, что у вас справа и слева от МЭ одна и та же сетка, то вы поймёте, почему возникали проблемы. Разумный до этого (при работе NAT) компьютер перестаёт понимать, как ему работать. Наверное, он «думает», что обе карточки смотрят в одну строну, а не в разные. (Замечание: использование с одним адресом двух стоящих вместе сетевых карт в виде одной логической, более производительной сетевой карты, не новость, а способ повышения быстродействия сети при минимизации затрат.)