форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"подводные камни bridget networks"
Сообщение от VuDZ on 27-Окт-02, 16:10  (MSK)
Есть сеть, типа такой: LAN1 <--> router <--->LAN2, INet                    сети соединены роутером, который преобразует приватные IP 1 сети в реальные для инета, а связь со второй сеткой осуществляется через мост ака bridge. Есть ли у подобного коннекта какие-нибудь потенциальные траблы? Одну я уже заметил - достаточно прописать на любом компе из LAN2 ip первой сетки & gate'ом роутер - и появляется выход в инет за счёт сервера... как-нибудь избежать и какие ещё есть грабли?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: подводные камни bridget networks"
Сообщение от dodger on 28-Окт-02, 08:56  (MSK)
>Есть сеть, типа такой: >LAN1 <--> router <--->LAN2, INet > > >сети соединены роутером, который преобразует приватные IP 1 сети в реальные для >инета, а связь со второй сеткой осуществляется через мост ака bridge. > >Есть ли у подобного коннекта какие-нибудь потенциальные траблы? Одну я уже заметил >- достаточно прописать на любом компе из LAN2 ip первой сетки >& gate'ом роутер - и появляется выход в инет за счёт >сервера... как-нибудь избежать и какие ещё есть грабли? Привет. Если честно, то я не понял топологию с самого начала. Во первых, что значит LAN2, Inet? Lan2 - это сеть с реальными адресами или с приватными? Где именно находится bridge? Ты говоришь между первой и второй сетью, но по твоему "рисунку" там стоит Шлюз. ??? Сделаю предположение, что рисунок неправильный: Lan1 <-- bridge --> Lan2 <-- route+NAT --> inet -- Если так, то твои обьяснения далее не понятны. Про спуффинг (подмена ip одной сети на другую), избавиться можно таким образом: $ipfw add deny all from ${lan1}:${lan1mask} to any in via ${lan2iface} $ipfw add deny all from ${lan2}:${lan2mask} to any in via ${lan1iface} Опиши подробнее пжалста. ----- BR, dodger
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "RE: подводные камни bridget networks"
	Сообщение от VuDZ on 28-Окт-02, 13:31  (MSK)
	Итак, торология сети. [LAN1] - 192.168.80.1-192.168.80.16 [LAN2] - 212.176.x.x [gate & bridge aka GB] - 192.168.80.2 / 212.176.x.167 [Internet Gate aka IG] - 212.176.x.129 [LAN1] <--> [GB] <--> [LAN2] <--> [IG] Т.е. есть первая сеть, которая смотрит в мир через гейт GB, на котором кроме NAT'a поднят bridge. Гейт подключен ко второй сети, которая имеет реальные IP & имеет выход в иент через гейт провайдера [IG] , так же подключенный к этой сети. lnc0 on RB - смотрит во внешний мир lnc1 on RB - смотрит в LAN1 я пытался в правилах писать нечто вроде: ipfw deny ip from 192.168.80.0/26 to any  via lnc0 Но, имхо, это не особо помогает, так как пакеты проходят через bridge из lnc0 и потом NAT'яться через lnc1...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "RE: подводные камни bridget networks"
	Сообщение от dodger on 28-Окт-02, 14:22  (MSK)
	>Итак, торология сети. >[LAN1] - 192.168.80.1-192.168.80.16 >[LAN2] - 212.176.x.x >[gate & bridge aka GB] - 192.168.80.2 / 212.176.x.167 >[Internet Gate aka IG] - 212.176.x.129 > >[LAN1] <--> [GB] <--> [LAN2] <--> [IG] > >Т.е. есть первая сеть, которая смотрит в мир через гейт GB, на >котором кроме NAT'a поднят bridge. Гейт подключен ко второй сети, которая >имеет реальные IP & имеет выход в иент через гейт провайдера >[IG] , так же подключенный к этой сети. >lnc0 on RB - смотрит во внешний мир >lnc1 on RB - смотрит в LAN1 > >я пытался в правилах писать нечто вроде: >ipfw deny ip from 192.168.80.0/26 to any  via lnc0 >Но, имхо, это не особо помогает, так как пакеты проходят через bridge >из lnc0 и потом NAT'яться через lnc1... 8-о Ну ты дал, дал. Так делать НЕЛЬЗЯ! Сто пудов, убери щас же! :-)) На полном серьезе тебе говорю. Советую почитать про строение стэка TCP/IP, а если не найдешь - то вкратце: TCP  UDP      транспортный уровень OSI     \       /        IP         сетевой уровень OSI        |      ARP        канальный/физический уровень       |   ---o---        сетевой кабель ;-)) -- bridge перебрасывает кадры Ethernet в данном случае на канальном уровне (они даже не доходят до IP). -- gate перебрасывает IP пакеты на сетевом уровне (приблизительно там же происходит фильтрация пакетов ipfw и NAT) Делай выводы :-)) Приблизительно следующие: пакеты, бегущие по интернету из твоей сети lan1 через GB , имеют адрес отправителя 192.168.80.x, что очень даже не есть гуд! Убей bridge немедленно! Тем более что он больше нагружает систему, переводя обе сетевухи в режим "пылесоса". --------- BR, dodger
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "RE: подводные камни bridget networks"
	Сообщение от boykov on 28-Окт-02, 14:43  (MSK)
	http://www.freebsd.org.ua/articles/filtering-bridges/ не спасет положение с воровством трафика?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "RE: подводные камни bridget networks"
	Сообщение от dodger on 29-Окт-02, 09:00  (MSK)
	>http://www.freebsd.org.ua/articles/filtering-bridges/ >не спасет положение с воровством трафика? Привет. Фильтрация - безо всяких соглашусь. bridge_ipfw есть. Но как будем делать маскарадинг? bridge_divert есть? ;-) ИМХО, ВСЕ приватные сети должны быть отгорожены на сетевом уровне или выше. То есть либо NAT, либо PROXY. ----- BR, dodger
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.