PF+BINAT

[sv_igor]

Здравствуйте,

Незнаю даже как у гугла правильно спросить, спрашивают тут.

есть сервер под FreeBSD 8.1-STABLE
фаервол крутится на PF
DHCP сервер на другой машине

есть 3 интерфейа(1 виртуальный)
em0 - внешний интерфейс в сторону провайдера(адрес типа 10.0.0.х) динамический
xl0 - смотрит в сеть адрес 192.168.0.1
tun0 - виртуальный создается когда сервер коннектится к инету через pppoe

Запущен igmpproxy(чтобы широковещательные ТВ-пакеты с em0 приходили в мою сеть 192.168.0.0). На компах сети нормально воспроизводится телевидение провайдерское.

Соответственно люди с xl0 ходят в инет через tun0 и могут работать с адресами которые крутятся на em0(тобишь работают с адресами 10.0.0.х)

Есть тв-приставка которая подключена к свитчу в который подключен em0 ну и соответственно провод провайдера.

Хочу сделать так, чтобы приставка при том, как оказывалась в сети 192.168.0.0 могла работать
Я так подразумеваю что у провайдера идет привязка к маку приставки(потомучто есть разные тарифные планы телепрограмм) и к адресу типа 10.0.0.х.

Когда подключаю приставку в сеть 192.168.0.0 то она соответственно не работает.

Можно ли средствами freebsd както прозрачно подключить приставку в сеть 192.168.0.0 но чтобы она была в сети провайдера (em0). Тобишь чтобы провайдер ее мак тоже видел.
Читал по поводу binat в pf, но похоже это не мой случай.

Возможно есть способ какойто типа - путем прописывания на FreeBSD мака приставки, она пыталась получить IP адрес из em0 интерфейса. Но при таком способе уверено что DHCP сервер прийдется переносить на сервер, куда подключен интернет

[maxx™]

Ну можешь попытаться сделать из BSD мост, тогда он будет все через себя прокидывать, но учитывая что он при этом должен остаться еще и роутером как-то не красиво это все будет. Тебе надо точно знать куда и зачем ходит приставка и прокинуть все это через BSD. За подробностями - к провайдеру.

[sv_igor]

можешь скинуть мануал?

[maxx™]

man bridge

[Михаил Вандышев]

Ну можешь попытаться сделать из BSD мост, тогда он будет все через себя прокидывать, но учитывая что он при этом должен остаться еще и роутером как-то не красиво это все будет. Тебе надо точно знать куда и зачем ходит приставка и прокинуть все это через BSD. За подробностями - к провайдеру.

Я когда-то так и делал. Только мост я делал при помощи netgraph с фильтрацией только multicast-фреймов. То есть, я сделал не простой bridge,а multicast bridge. Конфиг, скорее всего утерян в веках, но я поищу.

[sv_igor]

Буду благодарен, если найдете

[Михаил Вандышев]

Буду благодарен, если найдете

К сожалению, уникальный конфиг нетграфа безвозвратно утерян.
Я вижу 3 направления решения проблемы:

1. Провести исследование с целью выявления причин невозможности работы приставки через igmpproxy. C применением tcpdump и отслеживанием IGMP траффика между приставкой и сервером FreeBSD. Это интересно, но, возможно, не приведёт к достижению цели.

2. Сделать мост с фильтрацией мультикастного траффика. Вероятность положительного результата высокая, но необходимо потратить кучу времени на изучение манов (man netgraph) и ещё кучу времени на то, чтобы это заработало.

3. Подключить приставку к свитчу, который стоит перед em0, и не трахаться с Красным Чёртом. При этом можно вспомнить, что если локалка не гигабитная, то в сетевом кабеле используются только 2 пары из 4-х. По свободным парам можно организовать линк от этого свитча до приставки, которая территориально может находится возле розетки локалки, но при этом быть совершенно изолированной от неё.

[sv_igor]

Еще одна мысля в голову пришла. сделать это с помощью vlan
допустим один vlan смотрит в локалку игнорируя пакеты от мака приставки.
а второй vlan как бы в бридж моде работает между внешним интерфейсом и
внутреннем, но относящимся только к одному mac адресу

или для вланов обязательны только умные свитчи с поддержкой vlan ? у меня к сожалению тупые обычные.

я наверное полный бред написал и в вланах еще толком не шарю. Но может ктото поймет - то ответьте плз!