Есть такая задача: надо шейпить трафик пользователям с реальными адресами. В нашем распоряжении от провайдера 3 сети с внешними адресами. Есть DFL 800, к нем в wan1 включен провадерский провод со всеми 3 сетями на конце, а в lan живут клиенты. Как сделать прозрачный бридж для клиентов? Или проксиарп?

Пусть ваш DFL-800 работает как обычный маршрутизатор, без NAT.

А его 4 независимых порта использовать как WAN, LAN1, LAN2, LAN3.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

я не в курсе как это реализовать

По инструкции.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

нет господа вы не поняли, надо сделать так , чтоб длинк не был заметен. А проксиарп не получится в данном случае? И еще небольшое уточнение, все сети должны быть в lan и не иначе.

А просто коммутатором в вашем случае не обойтись?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

к большому сожалению нет, нужно шейпить трафик

В руководстве глава 4.6. Transparent Mode. Хотя по-прежнему не вижу причин, почему бы не использовать DFL в качестве обычного маршрутизатора. Зачем мудрить?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Вообще идельный вариант такой, что на интерфейсах wan1 и lan висят какиенибыдь фейковые адреса, т е к длинку нельзя обратиться в принципе а для его управления используется порт дмз который воткнут в локалку.


Такая схемы была реализована у меня на фрибсд и пресрасно работает до сих пор, вот хочу заменить полусдохшый сервер на этот длинк

В общем-то не видно проблем.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Из этого руководства следует то, что на интерфейсах длинка у меня должна быть та же сеть которая должна быть "прозрачной", а я этого не хочу. Так работает, но на это тратиться 6 реальных адресов, которые я мог бы раздать пользователям.

Это не совсем так. В любом случае для каждой реальной подсети есть адреса шлюзов. Почему бы эти адреса шлюзов не выставить на LAN порту DFL. А для связи DFL через WAN использовать один реальный или серый адрес. Расход белых адресов при этом минимальный или вообще отсутствует.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Вот и я тоже сначала проблем не видал, но постоянно упираюсь вот в это:


2008-10-11
10:09:19
Warning ARP
300049
Default_Access_Rule
lan
<ip убраны>
<ip убраны>
invalid_arp_sender_ip_address
drop
hwsender=00-22-15-6b-6e-44 hwdest=ff-ff-ff-ff-ff-ff arp=request srcenet=00-22-15-6b-6e-44 destenet=00-00-00-00-00-00

Спасибо за совет, сейчас попробую!