URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 54158
[ Назад ]

Исходное сообщение
"real IP - нужен совет "
Отправлено nece , 05-Мрт-05 12:35

Мужики помогите советом, что то я запутался.
Проблема следующая:
1)Есть выданный блок реальных ip скажем 44.44.44.0-254
2)Есть ip и маска вышестоящего маршрутизатора (ip 22.22.22.1)
3)Выход в интернет осуществляется через eth0
eth0 (inet) 44.44.44.1
eth1 (local) 192.168.y.z
Задача:
Нужно дать реальный ip машине из локальной сети.
Правильно ли я понимаю решение задачи?
eth0 (inet) 44.44.44.1
eth1 (local) 192.168.y.z
eth1:1 (lacal2)44.44.44.2
клиенту в сети даю ip 44.44.44.3

Содержание

real IP - нужен совет ,de_mone, 12:44 , 05-Мрт-05
real IP - нужен совет ,_KAV_, 12:45 , 05-Мрт-05
real IP - нужен совет ,jonatan, 12:51 , 05-Мрт-05
- real IP - нужен совет ,jonatan, 13:40 , 05-Мрт-05
  - realIP - нужен совет,dimus, 14:58 , 05-Мрт-05
    - realIP - нужен совет,nece, 19:25 , 05-Мрт-05
      - realIP - нужен совет,_KAV_, 11:00 , 06-Мрт-05
        
        realIP - нужен совет,_KAV_, 11:58 , 06-Мрт-05

Сообщения в этом обсуждении

"real IP - нужен совет "
Отправлено de_mone , 05-Мрт-05 12:44

>Мужики помогите советом, что то я запутался.
>
В общем то да. Машина будет работать как роутер между eth0 и eth1:1.
Проще всего организовать DMZ. Можно как на тазике, так и Internet Broadband Router (напр. XRT -410D Planet).
надеюсь помог.
>Проблема следующая:
>1)Есть выданный блок реальных ip скажем 44.44.44.0-254
>2)Есть ip и маска вышестоящего маршрутизатора (ip 22.22.22.1)
>3)Выход в интернет осуществляется через eth0
>eth0 (inet) 44.44.44.1
>eth1 (local) 192.168.y.z
>
>Задача:
>Нужно дать реальный ip машине из локальной сети.
>
>Правильно ли я понимаю решение задачи?
>eth0 (inet) 44.44.44.1
>eth1 (local) 192.168.y.z
>eth1:1 (lacal2)44.44.44.2
>
>клиенту в сети даю ip 44.44.44.3

"real IP - нужен совет "
Отправлено _KAV_ , 05-Мрт-05 12:45

>Правильно ли я понимаю решение задачи?
Неправильно.
1 - вешай алиас на внешнюю карту рутера и пробрасывай внутрь все что на нее идет
2 - создавай внешнюю подсеть real ip, внутреннюю сеть real ip, и настраивай маршрутизацию

"real IP - нужен совет "
Отправлено jonatan , 05-Мрт-05 12:51

Попробуй так
eth0 44.44.44.1/24
eth1 192.168.y.z/24
eth1:1 44.44.44.253/30
клиенту в сети 44.44.44.254/30

"real IP - нужен совет "
Отправлено jonatan , 05-Мрт-05 13:40

Думаю нужно еще будет включить proxy_arp
echo 1 > /proc/sys/net/ipv4/conf/eth0/proxy_arp
echo 1 > /proc/sys/net/ipv4/conf/eth1/proxy_arp

"realIP - нужен совет"
Отправлено dimus , 05-Мрт-05 14:58

Как вариант - подключи еще одну сетевую в роутер и сделай отдельную внешнюю сетку. В таком варианте у тебя будет более высокий уровень безопасности для клиентов сети 192.168.а.б, так как в варианте с друмя адресами на одной сетевухе ты получаешь две разные сети на уровне ИП, но на уровне МАС сеть по прежнему одна. И если враг залезет на одну из твоих машин, то он сможет сделать тебе много гадостей, вплоть до вырубания всей сетки. А уж инфу слить - это как два байта переслать.

"realIP - нужен совет"
Отправлено nece , 05-Мрт-05 19:25

>Как вариант - подключи еще одну сетевую в роутер и сделай отдельную
>внешнюю сетку. В таком варианте у тебя будет более высокий уровень
>безопасности для клиентов сети 192.168.а.б, так как в варианте с друмя
>адресами на одной сетевухе ты получаешь две разные сети на уровне
>ИП, но на уровне МАС сеть по прежнему одна. И если
>враг залезет на одну из твоих машин, то он сможет сделать
>тебе много гадостей, вплоть до вырубания всей сетки. А уж инфу
>слить - это как два байта переслать.
За дельные советы спасибо.
Для того что бы всё сделать правильно мне надо понять
как делать по физике и логике.
Если я правильно всё понял то надо делать так:
gw.provider.net [eth0   22.22.22.193 ]
                |
                |
gw.your.net     [eth0   22.22.22.194 mask 255.255.255.248 df_gw ...193]
gw.your.net     [eth1   22.22.22.195 mask 255.255.255.248]
                [eth1:1 192.168.0.1/24]
                |
           [hub/switch]
            |       |
            |       \___user1.your.net
            |         [ip 22.22.22.196 mask 255.255.255.252]
            |         [def_gw 22.22.22.195]
            |
  user1.nat.your.net
[ip 192.168.0.11/24]
[def_gw 192.168.0.1]

"realIP - нужен совет"
Отправлено _KAV_ , 06-Мрт-05 11:00

Неправильно...
Пакет на eth1 просто не пойдет
Правильно - (один из вариантов)
gw.provider.net [eth0   22.22.22.193 ]
                |
                |
gw.your.net     [eth0   22.22.22.194 mask 255.255.255.248 df_gw ...193]
                [eth0:1   22.22.22.195 mask 255.255.255.248]
все приходящее на 195 пробрасывается DNAT к примеру на машину 192.168.0.254
gw.your.net     [eth1:1 192.168.0.1/24]
                |
           [hub/switch]
            |       |
            |       \___user1.your.net
            |         [ip 192.168.0.254 mask 255.255.255.0]
            |         [def_gw 192.168.0.1]
            |
  user1.nat.your.net
[ip 192.168.0.11/24]
[def_gw 192.168.0.1]
Собсно, хаб или свич здесь не при чем.
Но _аккуратнее_ в сервер воткнуть еще одну карту , дать ей сетку 192.168.1 и все компы, предоставляющие внешние сервисы, совать туда

"realIP - нужен совет"
Отправлено _KAV_ , 06-Мрт-05 11:58

Перед уходом решил сделать пару комментариев...
В исходной схеме рутер провайдера при приходе пакета на 22.22.22.195 по маске ищет в _очень_локальной_ сети, соединяющей контору и провайдера, этот адрес локально - и не находит его, ибо там только адреса 22.22.22.193 и 194. Пакет умер. Если же повесить алиас на внешнюю карту - он этот адрес найдет и передаст пакет именно туда. А уж задача рутера конотры оттранслировать это обращение во внутреннее и передать во внутреннюю сеть. Аналогично ответ внутреннего сервера оттранслируется в реальный ip и уйдет наружу.
И - совет сделать отдельную внутреннюю сетку для DMZ на отдельной карте очень хорош... Вы даже не представляете, _насколько_ dimus прав...
P.S. Это только один из вариантов, но, пожалуй, самый универсальный и надежный.