Alexandr Rakhmanin -> [EMAIL PROTECTED], debian-russian@lists.debian.org @ Thu, 30 Dec 2004 11:14:42 +0600:
AR> Есть сетка из ~40 компов, по разному количеству компы вкормлены в свичи 2ого AR> уровня D-LINK 3226, в количестве 4ех штук, от каждого идет шнурок в роутер, в AR> котором 5 сетёвок. Он им раздает инет, почту и т.п. (система ALM 2.4). У AR> каждого сегмента подсетка 192.168.0.0, 1.0, 2.0, 3.0. AR> Надо разместить в сети файл-сервер-AD-win2000. Чтобы народ в нем AR> авторизировался и видел только его и свой сегмент. У меня только 4и идеи: AR> 3. Воткнуть еще одну сетевку (192.168.4.0) и повесить на нее файл-сервер, но AR> тогда я неуверен что все его увидят даже с маршрутизацией. Увидят. Самбу при этом, разумеется, поставить придется, причем сделать ее master browser'ом. Принципиальный недостаток конструкции (но он в любом случае будет - так уж виндовая сетка устроена) - имена из других подсетей люди видеть будут. Зайти не смогут. Чтоб глаза не мозолило, надо разносить по доменам. Были бы сегменты совсем изолированные (т.е. не требовалось бы показывать сервер) - можно было бы поднять 4 самбы с привязкой каждой к своему интерфейсу. А так - не получится. Кажется, самба раздачей броузинга управлять тоже не умеет. AR> 4. Возможно ли сделать на карточках IP из одной подсети, но развести маской по AR> 32 хоста, т.е. eth1-192.168.0.2/27, eth2-192.168.0.34/27, AR> eth3-192.168.0.66/27, eth4-192.168.0.98/27. Возможно ли такое и поймёт ли AR> роутер какой пакет куда слать? Тут уже iptablesом я зарежу что надо и AR> файл-сервер будет для всех виден. Роутер-то поймет. Не поймет клиент. Не догадается, что надо слать через роутер. А если ты сделаешь просто с маской /27, то ничем, кроме размера маски, это от маски /24 отличаться не будет. Можно в принципе сделать еще такое извращение, как выдать AD-серверу 4 адреса из разных сетей, но не с маской /24, а с маской /32 и дефолтным роутингом через оный роутер, настроить на роутере роутинг на эти адреса (/32) через нужный интерфейс, и настроить на нем же proxy arp на эти адреса. Тогда никто, кроме роутера и AD, не будет знать, что он на самом деле не в том сегменте. Да, можно заодно поставить его в один из сегментов (тогда, соответственно, -1 адрес в извращении). Извращение очень простое, на самом деле, в настройке. Но самбу все равно настраивать. Мастер браузером, ибо броадкасты роутер пропускать не будет. -- Artem Chuprina <ran{}ran.pp.ru>