форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"граждане, ipwf для чиста реальных ip хочу"
Сообщение от ditz on 15-Июн-02, 08:53  (MSK)
имею: хвостик от свича у "провайдера"; пул реальных ip типа 62.117.190.120/29; и с умным видом хочу всё закрыть ipfw-ой.. не подскажете ли, что ifconfig-у сказать по поводу масок на 2-х требующихся интерфейсах, внешнего и унутреннего - и чтоб после этого без route какнить.. вроде, куда уж проще - а ить поди ж ты..
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: граждане, ipwf для чиста реальных ip хочу"
Сообщение от LinaS on 15-Июн-02, 20:49  (MSK)
>имею: >хвостик от свича у "провайдера"; >пул реальных ip типа 62.117.190.120/29; >и с умным видом хочу всё закрыть ipfw-ой.. > >не подскажете ли, что ifconfig-у сказать по поводу масок на 2-х требующихся >интерфейсах, внешнего и унутреннего - и чтоб после этого без route >какнить.. вроде, куда уж проще - а ить поди ж ты.. > Я может, не понимаю проблемы, но почему бы и не сказать ifconfig'у, как есть? %) маска мол 29 (на внешнем по крайней мере) и все дела... %) И route не должон понадобиться...
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "RE: граждане, ipwf для чиста реальных ip хочу"
	Сообщение от ditz on 15-Июн-02, 22:04  (MSK)
	>Я может, не понимаю проблемы, но почему бы и не сказать ifconfig'у, >как есть? %) маска мол 29 (на внешнем по крайней мере) >и все дела... %) И route не должон понадобиться... а тогда на внутреннем с неизбежностью 32 и кирдык тем, кто за ентим фиреволом с оставшимися ip спрячется.. но - вдруг, ктонить разуверит..
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "RE: граждане, ipwf для чиста реальных ip хочу"
	Сообщение от lavr on 15-Июн-02, 22:10  (MSK)
	>>Я может, не понимаю проблемы, но почему бы и не сказать ifconfig'у, >>как есть? %) маска мол 29 (на внешнем по крайней мере) >>и все дела... %) И route не должон понадобиться... > >а тогда на внутреннем с неизбежностью 32 и кирдык тем, кто за >ентим фиреволом с оставшимися ip спрячется.. >но - вдруг, ктонить разуверит.. чтобы разуверили, надо понятно обяснить, дано: interface eth0 - внешний реальный ip:... net/mask interface eth1 - второй интерфейс для локалки за рутером net/mask хочу то-то и то-то или выдать ifconfig -a
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "RE: граждане, ipwf для чиста реальных ip хочу"
	Сообщение от ditz on 15-Июн-02, 22:19  (MSK)
	>чтобы разуверили, надо понятно обяснить, >дано: > >interface eth0 - внешний реальный ip:... net/mask >interface eth1 - второй интерфейс для локалки за рутером net/mask > >хочу то-то и то-то >или выдать ifconfig -a прошу прощения, в том и вопрос - как правильно выставить eth0 и eth1 при условии, что в "локалке" хочется оставить реальные адреса из того же пула..
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "RE: граждане, ipwf для чиста реальных ip хочу"
	Сообщение от LinaS on 16-Июн-02, 05:09  (MSK)
	>>чтобы разуверили, надо понятно обяснить, >>дано: >> >>interface eth0 - внешний реальный ip:... net/mask >>interface eth1 - второй интерфейс для локалки за рутером net/mask >> >>хочу то-то и то-то >>или выдать ifconfig -a > >прошу прощения, в том и вопрос - как правильно выставить eth0 и >eth1 при условии, что в "локалке" хочется оставить реальные адреса из >того же пула.. У меня видимо на работе примерно такая ситуация, никаких проблем - рисуешь маску 29 и на внутреннем и на внешнем (если в "локалке" дальше не собираешься маску удлиннять). Хостам всем с адресами из того же пула прописываешь маску соответственную (29 то есть). Иначе те, кто за внешним интерфейсом, не увидят внутренних и наоборот. Либо маршруты пропиши всем. проще, наверное маску всем задать %).
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "RE: граждане, ipwf для чиста реальных ip хочу"
	Сообщение от LinaS on 16-Июн-02, 05:31  (MSK)
	Кстати, не совсем так. сорри... Только что дошло (5 утра, пардон %)). Короче, чтобы из одного пула и на внешнем и на внутреннем, придется маску на внутреннем удлиннить - до 30, например - делишь на 2 подсетки то есть. То есть, если взять твой пример  - у тебя есть 62.117.190.120/29, что означает адреса 62.117.190.120 - 62.117.190.127 (+ вычитаем 120 и 127 - реальных адресов). Делим на 2 подсетки - получаем: 62.117.190.120/30 и 62.117.190.124/30 (опять вычитаем крайние). Дальше изнутри хосты должны иметь из одной подсетки/30, а с внешней стороны - из другой/29. Итого: снаружи у интерфейса адрес 62.117.190.121/29, у хостов снаружи (if any) - 62.117.190.122/30 (именно так, только один получается в твоем примере...). Изнутри у интерфейса адрес 62.117.190.125/30, у хостов изнутри адреса 62.117.190.126/30 (опять же один). И если за внешним интерфейсом в инет Cisco - прописываешь ей маршрут к сетке 62.117.190.124/30 через внешний интерфейс. Только если у тебя адреса действительно такие, то лучше прописать всем маршруты...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "RE: граждане, ipwf для чиста реальных ip хочу"
	Сообщение от LinaS on 16-Июн-02, 05:40  (MSK)
	И опять я... пардон. опять не так... (пора спать) Короче вышеопичанная схема сработает, если изначальный адрес с маской 28. Его нарезаешь на 2 подсетки, получаешь маску 29, на внешнем интерфейсе маска 29, на внутреннем - 30 (если надо дальше резать) или 29 (если не надо). Внешним хостам шлюз - внешний интерфейс. Суть в том, чтобы снаружи и изнутри были РАЗНЫЕ сетки. И циске маршрут к внутренней сетке. Тогда все будет работать. Сорри за кучу мессаг.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "RE: граждане, ipwf для чиста реальных ip хочу"
	Сообщение от ditz on 16-Июн-02, 07:20  (MSK)
	>И опять я... пардон. опять не так... (пора спать) >Короче вышеопичанная схема сработает, если изначальный адрес с маской 28. Его нарезаешь >на 2 подсетки, получаешь маску 29, на внешнем интерфейсе маска 29, >на внутреннем - 30 (если надо дальше резать) или 29 (если >не надо). Внешним хостам шлюз - внешний интерфейс. Суть в том, >чтобы снаружи и изнутри были РАЗНЫЕ сетки. т.е. с чем и родились, 29 и 29 - не пойдеть.. вот вам и scaleable..
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "RE: граждане, ipwf для чиста реальных ip хочу"
	Сообщение от Mikka on 16-Июн-02, 22:30  (MSK)
	Чего-то тут такого намудрили... Сам черт ногу сломит. А надо ли вообще резать сеть? Сделайте bridge. Вот в подробностях:http://www.securityportal.ru/network/FilterBridge.html И никаких route не понадобиться. Если же вы реально режете сетки, то при маршрутизации нужно, чтобы верхний маршрутизатор знал, какому маршрутизатору далее пакеты кидать, чтоб достичь ваших нарезанных сетей либо пользоваться arp-proxy. Как вариант можно сделать так - назначить все адреса на внешний eth через aliases, поднять нат, на внутренних узлах дать каждому по два адреса - внещний и внутренний и форвардить на роутере коннекты к нужным адресам.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "RE: граждане, ipwf для чиста реальных ip хочу"
	Сообщение от ditz on 17-Июн-02, 11:00  (MSK)
	>Чего-то тут такого намудрили... Сам черт ногу сломит. >А надо ли вообще резать сеть? Сделайте bridge. Вот в подробностях:http://www.securityportal.ru/network/FilterBridge.html >И никаких route не понадобиться. > >Если же вы реально режете сетки, то при маршрутизации нужно, чтобы верхний >маршрутизатор знал, какому маршрутизатору далее пакеты кидать, чтоб достичь ваших нарезанных >сетей либо пользоваться arp-proxy. > >Как вариант можно сделать так - назначить все адреса на внешний eth >через aliases, поднять нат, на внутренних узлах дать каждому по два >адреса - внещний и внутренний и форвардить на роутере коннекты к >нужным адресам. бридж - хорошо! ему и интерфейсов ваще конфигурить не надо.. токо теперь в общем уже случае (даже для мелкотравчатой - но гибридной, с локальными и внещними адресами офисной сеточки) вот ить какая напасть - уже двух bsd-ей придется ставить: одну - роутером, другую - бриджом.. boundless universality, итиио..
		Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "RE: граждане, ipwf для чиста реальных ip хочу"
Сообщение от poige on 17-Июн-02, 16:47  (MSK)
>имею: >хвостик от свича у "провайдера"; >пул реальных ip типа 62.117.190.120/29; >и с умным видом хочу всё закрыть ipfw-ой.. 2 варианта: 1. (как обычно белые пиплы делают) взять сетку /30 -- для связи ISP-GW<->MY-GW далее, ISP настраивает routing, для упомянутой тобой сетки, через адрес MY-GW. 2. Включаешься как BRIDGE, попутно отфильтровывая трафик (используя ipfw или ipfilter). 1-й вариант наиболее распространен. 2-й -- несколько необычен, но уж если так нужно IP-адреса сэкономить... экономь. :-) >не подскажете ли, что ifconfig-у сказать по поводу масок на 2-х требующихся >интерфейсах, внешнего и унутреннего - и чтоб после этого без route >какнить.. вроде, куда уж проще - а ить поди ж ты.. bridge на BSD делается просто -- man 4 bridge
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "RE: граждане, ipwf для чиста реальных ip хочу"
	Сообщение от ditz on 17-Июн-02, 18:11  (MSK)
	>>имею: >>хвостик от свича у "провайдера"; >>пул реальных ip типа 62.117.190.120/29; >>и с умным видом хочу всё закрыть ipfw-ой.. > >2 варианта: > > >1. (как обычно белые пиплы делают) >взять сетку /30 -- для связи ISP-GW<->MY-GW >далее, ISP настраивает routing, для упомянутой тобой сетки, через >адрес MY-GW. > >2. Включаешься как BRIDGE, попутно отфильтровывая трафик (используя >ipfw или ipfilter). > >1-й вариант наиболее распространен. >2-й -- несколько необычен, но уж если так нужно IP-адреса сэкономить... >экономь. :-) понял - спасибо.. 1-й вариант хорош, но выходит за рамки поставленной задачки (взять чаще получается что дают, тем более, когда конторке всего-то надо - паршивенький фиревол воткнуть).. c бриджом - тоже хорошо.. но до поры.. но всерн - спасибо за отношение.. =============== дело в том, что на деле это - стандартная задача (у буржуёв она тож регулярно мелькает) - закрыть фиреволом уже приписанную маленькую тупиковую гибридную сетку.. и, вроде, пора такую фигню если не на флеше,  то уж на флопе - точно делать.. и лучше - независимо от настроения нестчастного провидера.. ан хрен, оказывается.. =============== еще раз спасибо за обсуждение и sorry за отвлеченное внимание..
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "RE: граждане, ipwf для чиста реальных ip хочу"
	Сообщение от Valdemar on 17-Июн-02, 20:02  (MSK)
	>еще раз спасибо за обсуждение и sorry за отвлеченное внимание.. > Да нет уж, подожди, не сорри! С бриджем - это решение, точно, НО!!! Я что-то не совсем понял - это из какого-такого свича твоя сетка вылезает? Ну-ка объясни! Если я не якорь, то твоя сетка на свиче лежит, во всех его портах, иначе этот свич называется роутером! И если ты имеешь "кончик" свича, то у тебя нет сетки. Если я не прав - поправьте меня...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "RE: граждане, ipwf для чиста реальных ip хочу"
	Сообщение от ditz on 18-Июн-02, 09:11  (MSK)
	>>еще раз спасибо за обсуждение и sorry за отвлеченное внимание.. >> > >Да нет уж, подожди, не сорри! > >С бриджем - это решение, точно, НО!!! Я что-то не совсем понял >- это из какого-такого свича твоя сетка вылезает? Ну-ка объясни! Если >я не якорь, то твоя сетка на свиче лежит, во всех >его портах, иначе этот свич называется роутером! И если ты имеешь >"кончик" свича, то у тебя нет сетки. >Если я не прав - поправьте меня... сорри-сорри.. 1. всё перечисленное выше - р е ш е н и я, в том числе и с бриджем.. но каждое - со своими траблами и кривизной.. к примеру, бриджовое малоприемлемо в гибридной сетке.. единственное подходящее - это последнее из предложенных Mikkoй (хотя решение само по себе тож достаточно кривое - но не Mikka в том виноват, а принципиальное их, гладких, для данной задачки, как оказалось, отсутствие) 2. кончик-кончик, и с сеткой аднака.. свичи - они, брат, всякие водятся.. да будь он хучь из стенки - не в том вопрос-то..
		Рекомендовать в FAQ | Cообщить модератору | Наверх

15. "RE: граждане, ipwf для чиста реальных ip хочу"
Сообщение от windomser on 19-Июн-02, 16:52  (MSK)
> кончик-кончик, и с сеткой аднака.. свичи - они, брат, всякие водятся.. >да будь он хучь из стенки - не в том вопрос-то.. Catalist  от Ciscow умеет это делать. Реальный пример /etc/rc.conf : --------------cut on ----------- gateway_enable="YES" ifconfig_xl0="inet a.b.150.251  netmask 255.255.255.0" ifconfig_fxp0="inet a.b.150.253  netmask 255.255.255.252" defaultrouter="a.b.150.254" -------------cut off--------------- defaultrouter="a.b.150.254"- ето Cisco router - там роутинг настроен соответственно. А у юзеров так: a.b.150.x:255.255.255.0 ; default_gw=a.b.150.251
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	16. "RE: граждане, ipwf для чиста реальных ip хочу"
	Сообщение от ditz on 20-Июн-02, 00:44  (MSK)
	>Реальный пример /etc/rc.conf : >--------------cut on ----------- >gateway_enable="YES" >ifconfig_xl0="inet a.b.150.251  netmask 255.255.255.0" >ifconfig_fxp0="inet a.b.150.253  netmask 255.255.255.252" >defaultrouter="a.b.150.254" >-------------cut off--------------- >defaultrouter="a.b.150.254"- ето Cisco router - там роутинг настроен соответственно. >А у юзеров так: a.b.150.x:255.255.255.0 ; default_gw=a.b.150.251 и чем же в результате fxp0 занимается?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.