Подключаем подсеть к инету
 

значит так.. задача такая.
сетка 24 кампа.
сервак.
25 инет-апишников любезно предоставленых провайдером.
есть провайдерский шлюз и днс-ы . т.е. инет пока работает но через NAT
надо сделать чтобы у каждого компа в сети был свой внутресетевой ип (192.168.11.*) и инетовский (213.236.?.?) .
инет может раздавать тока сервер ибо у него 2 интерфейса для сети и для ALSL.

хотябы есть у когонить какиенибуть представления как это все делать? где чо прописыать итд..

сервер двухштучный, в сети все XP home.

а чего тебе НАТ не нравитца?

да потомучта нельзя из инета канектится к конкретному кампу.
+на всех 1 апишник, а это не самый лучшый вариант.
+некоторые игры требуют прямого апишника, т.е. канекта и подсети класса А.. а тех што из Ц канектяца не пускают.
в варкрафт тока так играть можно.
пиринг (ДЦ++) работает тока в пасивном режиме, а это ограничевает пользователя.. меня например. я хочу канектица к пасивным ( тем кто за фаерволом) и скачивать с них чонить..

Что-то я вас голубчик не совсем понимаю.
Если провайдер дает на 25 компов 25 паблик адресов, ну так пропишите на каждом компе свой адрес, маску, ДНС, шлюз и забудьте обо всем. Зачем вам еще "внутрисетевые адреса"? НАТ, имхо, потому и был придуман, чтобы большое количество компов с приват адресами могло пользоваться малым количеством паблик адресов.
Если лениво прописывать каждый комп, настройте, в конце концов, ДХСП на сервере, чтобы раздавал эти паблик адреса из пула. :contract:

дело в том что наша сетка подключена ещо к другой сети которой нежелательно раздавать инет.
т.е. ситуацыя такая:
компутерный клуб подрублен к инету через ADSL
в свич клуба воткнут шланг сети соседних домов чтобы посетители клуба могли играть с юзерами сетки.. если делать так как вы говорите то инет будет подрезать как нефик нафик т.к. прописать апишник када комп в ремонте - не составляет труда.
внутресетевые адреса нужны собстно для того штобы видить эту сетку и играть с ними иначе никак.

Все в принципе просто, если полностью закрыть глаза на безопасность.
На каждой сетевой карте прописываешь по два IP (внешний и внетренней).
Все будет работать.
Но это тебя не избавит от возможности несанкционированого использования твоих внешних IP.
В идеале тебе надо разделить сети, т.е. либо поставить по две сетевые карты в компы и 2 разных свитча, либо использовать карты и свитч с поддержкой VLAN.

вот вот я про тоже .. я не первый день админю. но такой хренью первый рас озадачиваюсь... может под фрибздюхой чо прокатит? у 1кампа может быть жэ 25 апишников.
если серьезно то полюбому ADSL Router палюбому надо включать в свич приэтом локальные кампы должны знать свои внешние апишники как никрути.. так все получается?
DCHP можел выдавать по 2 апишника на 1 MAC?

А зачем?
Проще в таком геморое разбираться если ручьками все прописать.
Я бы в такой ситуации поступил бы следующим образом:
1. Прописал бы всем по 2 IP
2. Поставил бы нормальный роутер с радиусом или что то типа сквида (что бы отсечь всех незаконных), а за одно и фаервол поднял бы.

А вобще условия задачи абсолютно бездарные.
Как второй вариант - более защещенный и праельный - Сервер занимающийся маршрутизацией и подключение к нему клиентов через VPN.
т.е. на каждом компе будет присутствовать VPN конектор, через который и будет осуществляться подключение к интнрнет (аталог диалапа, но в сети).

хм. можно поподробнее по первому варианту..
сейчас стоит Winroute который пускает в инет (через NAT) тока с нашых ип-ов клуба.
что значит бездарная задача?
задачка то кстати не простая..
суть 2х апишников в том что 1-й апишник для сети, второй для инета..
т.е. сервер будет давать инет тока тем кому можно, и выходить они в инет через сервер будут, каждый со своим ип-ом.вот.

хм. можно поподробнее по первому варианту..
сейчас стоит Winroute который пускает в инет (через NAT) тока с нашых ип-ов клуба.
что значитусловия задачи бездарные?
задачка то кстати не простая..
суть 2х апишников в том что 1-й апишник для сети, второй для инета..
т.е. сервер будет давать инет тока тем кому можно, и выходить они в инет через сервер будут, каждый со своим ип-ом.вот.

Тебе все равно какую сеть маршрутезить, внешнюю или внутреннюю, по этому тебе достсточно поставить любой роутер (программный или аппаратный) способный отсечь МАС адреса. Не помню, умеет ли это винроут. А задача бездарная по тому, что некрасивая с точки зрения безопасности.
тоесть тебе надо настроить роутер и что бы провйдер прописал его у себя как гейт на твою подсеть (в принципе это уже сделано в модеме, просто небольшие перенастройки понадобятся).
Потом просто добавляещь по второму айпишнику на карту и вперед.

Cорри, а чем в этой ситуации плох VPN?

VPN наверное идеальное с точки зрения безопасности решение, доступ открывается только по логину/паролю.
Только у сервера несколько больше процессорного времени может отнимать.

Еще я встречал описания (когда искал примеры настройки iptbles) некой вещи arp proxy под линкусом. как дополнение к маскараду как раз дает примерно то что изначально человек хотел.

Любое решение, основанное только на контроле физического адреса ненадежно, ибо подделать его - несколько кликов мыши... Ну плюс в инете прогу нужную найти...

Еще вариант.
На freebsd прокатит.
на внешний интерфейс фришного роутера прописываются алиасы всех реальных ip. затем в нате делаешь bimap на локальные машины
bimap fxp0 192.168.1.66/32 -> 200.200.200.100/32
bimap fxp0 192.168.1.67/32 -> 200.200.200.101/32
итд.
(здесь пример с ipf/ipnat)

што значит запись 192.168.1.67/32
никак не догоню

Ip адрес и сокращенная маска сети
255.255.255.0 - /24
255.255.255.255 (Тоесть еденичный хост) - /32

th1nG
Можно ! Через OpenVPN все прекрасно пахает! Только доку прочитай - на нате нужно 5000 портик открыть - типа прозрачного туннеля будет.
А коннектиться можно будет потому, что при установке ОпенВПНа создается еще один сетевой адаптер - типа как в ВМваре.

Люди, извините, вопрос не в тему, просто не хочется открывать новый топик

Где можно посмотреть на русском литературку по маршрутизации, IP, MAC адресам и пр.
Я в этом разбираюсь хреново, а на голову свалилась задача, подключить к инету несколько машин.
При этом необходимо обеспечить максимальный уровень защищенности и на одну из машин нужно поставить ВЕБ и ФТП сервера (все работает под Win XP) .
Провайдер выделяет на эту группу 1-2 IP.
Заранее спасибо