Объединение "своей" и "чужой" локалки (как лучше поступить?)

[GSMD]

Приветствую.
Возможно, кто-то сталкивался с подобной ситуацией.
Есть "своя" сеть из нескольких машин и есть городская. Между ними - linux router.
Каким образом лучше поступить, чтобы локальные пользователи имели доступ к ftp, http, DC++, Game сервисам внешней сети, но при этом "своя" сеть была защищена от вторжения извне.
Настроить маскарадинг? Взять маршрутизируемые IP внешней сети?

Благодарю.

[hudbrog]

Приветствую.
Возможно, кто-то сталкивался с подобной ситуацией.
Есть "своя" сеть из нескольких машин и есть городская. Между ними - linux router.
Каким образом лучше поступить, чтобы локальные пользователи имели доступ к ftp, http, DC++, Game сервисам внешней сети, но при этом "своя" сеть была защищена от вторжения извне.
Настроить маскарадинг? Взять маршрутизируемые IP внешней сети?

Благодарю.

Если хочешь защитить - тогда nat. но не факт, что через нат будет нормально работать dc++ и все игрушки. Хотя dc++ будет, да и большинство игр тоже )
А если хочется нормальной работы - тогда маршрутизируемые адреса выдавать )

[Tokra]

Да еще написать несколько правил iptables. Что бы не было доступа к ненужным сервисам. Да и вообще поотсекать все ненужное. Работа трудаемкая, но того стоит.

[grub]

Да nat - рулит. Правда к внутренним машинам не смогут устанавливать соединения и будут думать что у тебя один комп а не целая сеть... но это даже в какой-то мере и хорошо
Если брать ip из внешней сети, то маршрутизатор получается как-бы и не нужен - завместо него можно поставить свитч простенький, тупенький за штучку.
А чтоб побезопасней надо пропатчится, удалить с сервака все лишнее, настроить iptables, пользоваться темже nat-ом, можно еще поставить какойнибудь portsentry - чтоб сразу блокировал всяких любопытных. Для полного попса поставь snort_inline... Вобщем все зависит насколько у тебя фантазия разайдется, и когда задолбает все это настраивать...

[Zm1y]

Да nat - рулит. Правда к внутренним машинам не смогут устанавливать соединения и будут думать что у тебя один комп а не целая сеть... но это даже в какой-то мере и хорошо
Если брать ip из внешней сети, то маршрутизатор получается как-бы и не нужен - завместо него можно поставить свитч простенький, тупенький за штучку.
А чтоб побезопасней надо пропатчится, удалить с сервака все лишнее, настроить iptables, пользоваться темже nat-ом, можно еще поставить какойнибудь portsentry - чтоб сразу блокировал всяких любопытных. Для полного попса поставь snort_inline... Вобщем все зависит насколько у тебя фантазия разайдется, и когда задолбает все это настраивать...

OpenVPN+NAT плюс пара правил для iptables...