多网段(三层交换机划分VLan的情况)透明代理，急!

samclock

内网：三层交换机，设置了几个vlan,交换机上设了SVI接口做三层交换,有7~8个网段，PC大概3，4百台
外网：电信adsl 固定ip

想用一台双网卡PC服务器做透明代理上网（ Squid+iptables），麻烦吗？
另外，只用iptables可以吗？

看过的例子多是单网段的，做过多网段的朋友给点思路

另外，大家推荐一下操作系统和应用软件的版本（REDHAT）

先谢谢了！

memory

照置顶贴做就可以，只不过在nat那一步时为每个网段单独加一条POSTROUTING的iptables命令即可。

Qlin

可以只用iptables
只要改成0/0就可以了.
-s 0/0说明要匹配的源地址是从网络掩码为0.0.0.0的地址0.0.0.0开始的，换句话说，就是所有的地址

jd_chen

建议加多一个TC来做流量控制~哈哈，我依家都学紧~

Yuri

好不错，谁给写教程？

memory

Post by Qlin
可以只用iptables
只要改成0/0就可以了.
-s 0/0说明要匹配的源地址是从网络掩码为0.0.0.0的地址0.0.0.0开始的，换句话说，就是所有的地址

个人认为这样做比较省事，但不适合有真ip网段的网络。

ctgboy

Post by Qlin
可以只用iptables
只要改成0/0就可以了.
-s 0/0说明要匹配的源地址是从网络掩码为0.0.0.0的地址0.0.0.0开始的，换句话说，就是所有的地址

直接用子网掩码来控制不行吗？比如网络中有192.168.0.0/24；192.168.1.0/24;192.168.2.0/24;192.168.3.0/24.....192.168.16.0/24,匹配的源地址是从网络掩码192.168.0.0/20，这样行不行？

YourLai

没有想象中的容易，我测试了一下，单网段很容易实现，像楼主这种多vlan划分的，我试了很久没实现。正好，我的环境和楼主差不多，同样需要这样的功能。

parset

多网段主要是回程路由的问题，交换机上需要开trunk口,并且设备IP,也就是说交换机连接iptable+nat的服务器的接口需要让所有的VLAN都能够访问.
最方便的做法就是交换机连接服务器的端口上开动态路由,否则就加静态路由:默认指向服务器的IP,内部的指向自己的网关(交换机上的VLAN口IP)
iptable+nat的设备基本和单VLAN一致,如果可能的话,也开动态路由,或者把所有的内部网的IP都指向到三层设备的接口的IP上.

tao61

很明显的的单臂路由，我的环境和你的差不多。不过防火是ISA，现在下面的机器有六百多台了。