имею:
хвостик от свича у "провайдера";
пул реальных ip типа 62.117.190.120/29;
и с умным видом хочу всё закрыть ipfw-ой..не подскажете ли, что ifconfig-у сказать по поводу масок на 2-х требующихся интерфейсах, внешнего и унутреннего - и чтоб после этого без route какнить.. вроде, куда уж проще - а ить поди ж ты..
>имею:
>хвостик от свича у "провайдера";
>пул реальных ip типа 62.117.190.120/29;
>и с умным видом хочу всё закрыть ipfw-ой..
>
>не подскажете ли, что ifconfig-у сказать по поводу масок на 2-х требующихся
>интерфейсах, внешнего и унутреннего - и чтоб после этого без route
>какнить.. вроде, куда уж проще - а ить поди ж ты..
>Я может, не понимаю проблемы, но почему бы и не сказать ifconfig'у, как есть? %) маска мол 29 (на внешнем по крайней мере) и все дела... %) И route не должон понадобиться...
>Я может, не понимаю проблемы, но почему бы и не сказать ifconfig'у,
>как есть? %) маска мол 29 (на внешнем по крайней мере)
>и все дела... %) И route не должон понадобиться...а тогда на внутреннем с неизбежностью 32 и кирдык тем, кто за ентим фиреволом с оставшимися ip спрячется..
но - вдруг, ктонить разуверит..
>>Я может, не понимаю проблемы, но почему бы и не сказать ifconfig'у,
>>как есть? %) маска мол 29 (на внешнем по крайней мере)
>>и все дела... %) И route не должон понадобиться...
>
>а тогда на внутреннем с неизбежностью 32 и кирдык тем, кто за
>ентим фиреволом с оставшимися ip спрячется..
>но - вдруг, ктонить разуверит..чтобы разуверили, надо понятно обяснить,
дано:interface eth0 - внешний реальный ip:... net/mask
interface eth1 - второй интерфейс для локалки за рутером net/maskхочу то-то и то-то
или выдать ifconfig -a
>чтобы разуверили, надо понятно обяснить,
>дано:
>
>interface eth0 - внешний реальный ip:... net/mask
>interface eth1 - второй интерфейс для локалки за рутером net/mask
>
>хочу то-то и то-то
>или выдать ifconfig -aпрошу прощения, в том и вопрос - как правильно выставить eth0 и eth1 при условии, что в "локалке" хочется оставить реальные адреса из того же пула..
>>чтобы разуверили, надо понятно обяснить,
>>дано:
>>
>>interface eth0 - внешний реальный ip:... net/mask
>>interface eth1 - второй интерфейс для локалки за рутером net/mask
>>
>>хочу то-то и то-то
>>или выдать ifconfig -a
>
>прошу прощения, в том и вопрос - как правильно выставить eth0 и
>eth1 при условии, что в "локалке" хочется оставить реальные адреса из
>того же пула..У меня видимо на работе примерно такая ситуация, никаких проблем - рисуешь маску 29 и на внутреннем и на внешнем (если в "локалке" дальше не собираешься маску удлиннять). Хостам всем с адресами из того же пула прописываешь маску соответственную (29 то есть). Иначе те, кто за внешним интерфейсом, не увидят внутренних и наоборот. Либо маршруты пропиши всем. проще, наверное маску всем задать %).
Кстати, не совсем так. сорри...Только что дошло (5 утра, пардон %)).
Короче, чтобы из одного пула и на внешнем и на внутреннем, придется маску на внутреннем удлиннить - до 30, например - делишь на 2 подсетки то есть.
То есть, если взять твой пример - у тебя есть 62.117.190.120/29, что означает адреса 62.117.190.120 - 62.117.190.127 (+ вычитаем 120 и 127 - реальных адресов). Делим на 2 подсетки - получаем: 62.117.190.120/30 и 62.117.190.124/30 (опять вычитаем крайние).
Дальше изнутри хосты должны иметь из одной подсетки/30, а с внешней стороны - из другой/29.
Итого: снаружи у интерфейса адрес 62.117.190.121/29, у хостов снаружи (if any) - 62.117.190.122/30 (именно так, только один получается в твоем примере...). Изнутри у интерфейса адрес 62.117.190.125/30, у хостов изнутри адреса 62.117.190.126/30 (опять же один).
И если за внешним интерфейсом в инет Cisco - прописываешь ей маршрут к сетке 62.117.190.124/30 через внешний интерфейс.Только если у тебя адреса действительно такие, то лучше прописать всем маршруты...
И опять я... пардон. опять не так... (пора спать)
Короче вышеопичанная схема сработает, если изначальный адрес с маской 28. Его нарезаешь на 2 подсетки, получаешь маску 29, на внешнем интерфейсе маска 29, на внутреннем - 30 (если надо дальше резать) или 29 (если не надо). Внешним хостам шлюз - внешний интерфейс. Суть в том, чтобы снаружи и изнутри были РАЗНЫЕ сетки.И циске маршрут к внутренней сетке. Тогда все будет работать.
Сорри за кучу мессаг.
>И опять я... пардон. опять не так... (пора спать)
>Короче вышеопичанная схема сработает, если изначальный адрес с маской 28. Его нарезаешь
>на 2 подсетки, получаешь маску 29, на внешнем интерфейсе маска 29,
>на внутреннем - 30 (если надо дальше резать) или 29 (если
>не надо). Внешним хостам шлюз - внешний интерфейс. Суть в том,
>чтобы снаружи и изнутри были РАЗНЫЕ сетки.т.е. с чем и родились, 29 и 29 - не пойдеть..
вот вам и scaleable..
Чего-то тут такого намудрили... Сам черт ногу сломит.
А надо ли вообще резать сеть? Сделайте bridge. Вот в подробностях:http://www.securityportal.ru/network/FilterBridge.html
И никаких route не понадобиться.Если же вы реально режете сетки, то при маршрутизации нужно, чтобы верхний маршрутизатор знал, какому маршрутизатору далее пакеты кидать, чтоб достичь ваших нарезанных сетей либо пользоваться arp-proxy.
Как вариант можно сделать так - назначить все адреса на внешний eth через aliases, поднять нат, на внутренних узлах дать каждому по два адреса - внещний и внутренний и форвардить на роутере коннекты к нужным адресам.
>Чего-то тут такого намудрили... Сам черт ногу сломит.
>А надо ли вообще резать сеть? Сделайте bridge. Вот в подробностях:http://www.securityportal.ru/network/FilterBridge.html
>И никаких route не понадобиться.
>
>Если же вы реально режете сетки, то при маршрутизации нужно, чтобы верхний
>маршрутизатор знал, какому маршрутизатору далее пакеты кидать, чтоб достичь ваших нарезанных
>сетей либо пользоваться arp-proxy.
>
>Как вариант можно сделать так - назначить все адреса на внешний eth
>через aliases, поднять нат, на внутренних узлах дать каждому по два
>адреса - внещний и внутренний и форвардить на роутере коннекты к
>нужным адресам.бридж - хорошо! ему и интерфейсов ваще конфигурить не надо..
токо теперь в общем уже случае (даже для мелкотравчатой - но гибридной, с локальными и внещними адресами офисной сеточки) вот ить какая напасть - уже двух bsd-ей придется ставить: одну - роутером, другую - бриджом..
boundless universality, итиио..
>имею:
>хвостик от свича у "провайдера";
>пул реальных ip типа 62.117.190.120/29;
>и с умным видом хочу всё закрыть ipfw-ой..2 варианта:
1. (как обычно белые пиплы делают)
взять сетку /30 -- для связи ISP-GW<->MY-GW
далее, ISP настраивает routing, для упомянутой тобой сетки, через
адрес MY-GW.2. Включаешься как BRIDGE, попутно отфильтровывая трафик (используя
ipfw или ipfilter).1-й вариант наиболее распространен.
2-й -- несколько необычен, но уж если так нужно IP-адреса сэкономить...
экономь. :-)
>не подскажете ли, что ifconfig-у сказать по поводу масок на 2-х требующихся
>интерфейсах, внешнего и унутреннего - и чтоб после этого без route
>какнить.. вроде, куда уж проще - а ить поди ж ты..bridge на BSD делается просто -- man 4 bridge
>>имею:
>>хвостик от свича у "провайдера";
>>пул реальных ip типа 62.117.190.120/29;
>>и с умным видом хочу всё закрыть ipfw-ой..
>
>2 варианта:
>
>
>1. (как обычно белые пиплы делают)
>взять сетку /30 -- для связи ISP-GW<->MY-GW
>далее, ISP настраивает routing, для упомянутой тобой сетки, через
>адрес MY-GW.
>
>2. Включаешься как BRIDGE, попутно отфильтровывая трафик (используя
>ipfw или ipfilter).
>
>1-й вариант наиболее распространен.
>2-й -- несколько необычен, но уж если так нужно IP-адреса сэкономить...
>экономь. :-)
понял - спасибо..1-й вариант хорош, но выходит за рамки поставленной задачки (взять чаще получается что дают, тем более, когда конторке всего-то надо - паршивенький фиревол воткнуть)..
c бриджом - тоже хорошо.. но до поры..но всерн - спасибо за отношение..
===============
дело в том, что на деле это - стандартная задача (у буржуёв она тож регулярно мелькает) - закрыть фиреволом уже приписанную маленькую тупиковую гибридную сетку.. и, вроде, пора такую фигню если не на флеше, то уж на флопе - точно делать.. и лучше - независимо от настроения нестчастного провидера.. ан хрен, оказывается..
===============еще раз спасибо за обсуждение и sorry за отвлеченное внимание..
>еще раз спасибо за обсуждение и sorry за отвлеченное внимание..
>Да нет уж, подожди, не сорри!
С бриджем - это решение, точно, НО!!! Я что-то не совсем понял - это из какого-такого свича твоя сетка вылезает? Ну-ка объясни! Если я не якорь, то твоя сетка на свиче лежит, во всех его портах, иначе этот свич называется роутером! И если ты имеешь "кончик" свича, то у тебя нет сетки.
Если я не прав - поправьте меня...
>>еще раз спасибо за обсуждение и sorry за отвлеченное внимание..
>>
>
>Да нет уж, подожди, не сорри!
>
>С бриджем - это решение, точно, НО!!! Я что-то не совсем понял
>- это из какого-такого свича твоя сетка вылезает? Ну-ка объясни! Если
>я не якорь, то твоя сетка на свиче лежит, во всех
>его портах, иначе этот свич называется роутером! И если ты имеешь
>"кончик" свича, то у тебя нет сетки.
>Если я не прав - поправьте меня...сорри-сорри..
1. всё перечисленное выше - р е ш е н и я, в том числе и с бриджем..
но каждое - со своими траблами и кривизной.. к примеру, бриджовое малоприемлемо в гибридной сетке.. единственное подходящее - это последнее из предложенных Mikkoй (хотя решение само по себе тож достаточно кривое - но не Mikka в том виноват, а принципиальное их, гладких, для данной задачки, как оказалось, отсутствие)
2. кончик-кончик, и с сеткой аднака.. свичи - они, брат, всякие водятся..
да будь он хучь из стенки - не в том вопрос-то..
> кончик-кончик, и с сеткой аднака.. свичи - они, брат, всякие водятся..
>да будь он хучь из стенки - не в том вопрос-то..Catalist от Ciscow умеет это делать.
Реальный пример /etc/rc.conf :
--------------cut on -----------
gateway_enable="YES"
ifconfig_xl0="inet a.b.150.251 netmask 255.255.255.0"
ifconfig_fxp0="inet a.b.150.253 netmask 255.255.255.252"
defaultrouter="a.b.150.254"
-------------cut off---------------
defaultrouter="a.b.150.254"- ето Cisco router - там роутинг настроен соответственно.
А у юзеров так: a.b.150.x:255.255.255.0 ; default_gw=a.b.150.251
>Реальный пример /etc/rc.conf :
>--------------cut on -----------
>gateway_enable="YES"
>ifconfig_xl0="inet a.b.150.251 netmask 255.255.255.0"
>ifconfig_fxp0="inet a.b.150.253 netmask 255.255.255.252"
>defaultrouter="a.b.150.254"
>-------------cut off---------------
>defaultrouter="a.b.150.254"- ето Cisco router - там роутинг настроен соответственно.
>А у юзеров так: a.b.150.x:255.255.255.0 ; default_gw=a.b.150.251
и чем же в результате fxp0 занимается?