форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"На машине 2 сетевые карты - не пингуются "
Сообщение от albich on 18-Апр-03, 18:31  (MSK)
Помогите советом Пытаемся поднять router с firewallом. На машине 2 сетевые карты, одна внешняя eth1( подключается к железному routerу и далее - в Internet), другая внутренняя eth2 (на нашу локальную сеть). Причем в локальной сети тачки с реальными адресами. Так надо. Нам выделили диапозон адресов x.x.x.x/29, т.е. 8 реальных адресов. Как я понимаю, для того, чтобы выделить из этого диапозона адрес на внешний интерфейс eth1, прийдется делить нашу сетку на два диапазона, т.е.: -на внешний интерфейс сеть x.x.x.x/30; -на внутренний интерфейс сеть x.x.x.x/30      Иначе никак не получается. Ведь невозмо-жно, чтобы и один и другой сетевой интерфейсы были в одной сети?   Но меня тут кое-кто уверяет, что это вполне осуществимо, нужно только настроить форвардинг из одного интерфейса в другой. Тогда можно использовать всю нашу сетку, без изменений. Кто знает:можно ли сделать так?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "На машине 2 сетевые карты - не пингуются "
Сообщение от dodger on 19-Апр-03, 06:21  (MSK)
>Помогите советом > Пытаемся поднять router с firewallом. > На машине 2 сетевые карты, одна внешняя eth1( подключается к железному >routerу и далее - в Internet), другая внутренняя eth2 (на нашу > > локальную сеть). Причем в локальной сети тачки с реальными адресами. Так >надо. > Нам выделили диапозон адресов x.x.x.x/29, т.е. 8 реальных адресов. >Как я понимаю, для того, чтобы выделить из этого диапозона адрес на >внешний интерфейс eth1, прийдется делить нашу сетку на два диапазона, т.е.: > > -на внешний интерфейс сеть x.x.x.x/30; > -на внутренний интерфейс сеть x.x.x.x/30 >     Иначе никак не получается. Ведь невозмо-жно, чтобы >и один и другой сетевой интерфейсы были в одной сети? >  Но меня тут кое-кто уверяет, что это вполне осуществимо, нужно >только настроить форвардинг из одного интерфейса в другой. Тогда можно использовать >всю нашу сетку, без изменений. >Кто знает:можно ли сделать так? Чтобы не терять адреса, сделай на вшенем интерфейсе ppp over ethernet. (маска будет ессно /32) и маршрут по умолчанию 0.0.0.0. Ну и естественно у тебя только один адрес уйдет на внешний интерфейс, а отсальные можно во внутренней сети испльзовать. (Все это если только между этим маршрутизатором и "железным", как ты выразился, канал связи peer-to-peer).
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "На машине 2 сетевые карты - не пингуются "
	Сообщение от albich on 19-Апр-03, 09:13  (MSK)
	>Чтобы не терять адреса, сделай на вшенем интерфейсе ppp over ethernet. (маска >будет ессно /32) и маршрут по умолчанию 0.0.0.0. Ну и естественно >у тебя только один адрес уйдет на внешний интерфейс, а отсальные >можно во внутренней сети испльзовать. (Все это если только между этим >маршрутизатором и "железным", как ты выразился, канал связи peer-to-peer).   Нет , ppp не подходит,так как "железный" подключен прямо в порт коммута- тора провайдера. Можно было бы им и обойтись, но фильтр он - никакой. Это- не Cisca.   Кстати, а как можно дать интерфейсу 7 или 6 адресов? Я полагал, что с помощью маски мы можем делать сетки по 8, 4, 2 адреса.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "На машине 2 сетевые карты - не пингуются "
	Сообщение от dodger on 19-Апр-03, 09:36  (MSK)
	> > >>Чтобы не терять адреса, сделай на вшенем интерфейсе ppp over ethernet. (маска >>будет ессно /32) и маршрут по умолчанию 0.0.0.0. Ну и естественно >>у тебя только один адрес уйдет на внешний интерфейс, а отсальные >>можно во внутренней сети испльзовать. (Все это если только между этим >>маршрутизатором и "железным", как ты выразился, канал связи peer-to-peer). > >  Нет , ppp не подходит,так как "железный" подключен прямо в >порт коммута- >тора провайдера. Можно было бы им и обойтись, но фильтр он - >никакой. Это- >не Cisca. >  Кстати, а как можно дать интерфейсу 7 или 6 адресов? >Я полагал, что с >помощью маски мы можем делать сетки по 8, 4, 2 адреса. Да, все верно. Я не подумал о том что ближайшее минимальное - 4 адреса. А насчет ppp я не понял, причем здесь фильтр? ipfw настраивай, и делов то. ну вообще еще можно попробовать такое решение: настроить NAT. То есть дать внутренней сети приватные адреса и конфигурацией NAT расправиться с подставлением адресов. Решение не совсем удачно, так как FTP может не работать, и другие сервисы, которые вкладывают в информационную часть пакета IP адрес также не будут работать нормально. Можно попробовать в IPFW настроить правила fwd, но я это ни разу не делал - вроде как теоретически вполне возможно.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "На машине 2 сетевые карты - не пингуются "
	Сообщение от Ihor on 19-Апр-03, 12:25  (MSK)
	Должно работать: ставишь fake-адреса на eth1 и компьютеры в лок. сети; ставишь NAT на eth0 со статической привязкой адресов: каждому fake адресу ставишь в соответствие 1 реальный Как альтернативное решение: можно использовать fake адреса на интерфейсе zyxel-а и eth0 и прописать корректную маршрутизацию, а в сетке оставить рельные. Есть недостаток - твой Linux не сможет выходить в Internet, но это можно решить
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "На машине 2 сетевые карты - не пингуются "
	Сообщение от dodger on 19-Апр-03, 09:38  (MSK)
	> > >>Чтобы не терять адреса, сделай на вшенем интерфейсе ppp over ethernet. (маска >>будет ессно /32) и маршрут по умолчанию 0.0.0.0. Ну и естественно >>у тебя только один адрес уйдет на внешний интерфейс, а отсальные >>можно во внутренней сети испльзовать. (Все это если только между этим >>маршрутизатором и "железным", как ты выразился, канал связи peer-to-peer). > >  Нет , ppp не подходит,так как "железный" подключен прямо в >порт коммута- >тора провайдера. Можно было бы им и обойтись, но фильтр он - >никакой. Это- >не Cisca. >  Кстати, а как можно дать интерфейсу 7 или 6 адресов? >Я полагал, что с >помощью маски мы можем делать сетки по 8, 4, 2 адреса. Кстати, а почему бы не сделать BRIDGE между интерфейсами? и не нужно ничего делить.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "На машине 2 сетевые карты - не пингуются "
	Сообщение от albich on 19-Апр-03, 10:41  (MSK)
	>Можно попробовать в IPFW настроить правила fwd, но я это ни разу не делал - вроде как теоретически вполне возможно >Кстати, а почему бы не сделать BRIDGE между интерфейсами? и не нужно >ничего делить. Я имел в виду , что железный роутер Zyxel - не фильтрует, поэтому и ставим Linux c firewallом А насчет цепочки forward мне и говорили, но как-то так невнятно, что я не понял. Понимаешь, я дал обоим интерфейсам eth0 и eth1 реальные адреса из нашего диапазона, подключаюсь к eth1 клиентом, тоже с реальным адресом. В firewallе сделал самые простые правила: ACCESS для всех трех цепочек правил - input,forward,output(использую не ipfw, а ipchains, но по-моему разница не велика). И - запись в log... Потом пингую IP-адресс eth1 с клиента и смотрю в логе:   input eth1 x.x.x.x  x.x.x.y   output eth0 x.x.x.y  x.x.x.x и пингов никаких Почему используется цепочка output интерфейса eth0, а не eth1? Пробовал подключить клиента к eth0. Имею:   input eth0 x.x.x.x  x.x.x.y   output eth0 x.x.x.y  x.x.x.x И пингуется нормально. Но интерфейс eth1 все равно будет не у дел. А насчет BRIDGE я не думал. Он ведь работает на уровне MAC-адрессов, а на сетевом уровне его возможности ограничены? Как же тогда будет работать firewall? Извини за длинные рассуждения
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "На машине 2 сетевые карты - не пингуются "
	Сообщение от dodger on 19-Апр-03, 10:58  (MSK)
	>Я имел в виду , что железный роутер Zyxel - не фильтрует, >поэтому и ставим Гм... Ну выкиньте этот роутер! Канал от провайдерского комутатора сразу в машину с Linuxом воткни. А что за Zyxel? Дай точную модель, я поищу доки. >Linux c firewallом >А насчет цепочки forward мне и говорили, но как-то так невнятно, что >я не >понял. > Понимаешь, я дал обоим интерфейсам eth0 и eth1 реальные адреса из >нашего диапазона, подключаюсь к eth1 клиентом, тоже с реальным адресом. >В firewallе сделал самые простые правила: ACCESS для всех трех цепочек правил >- input,forward,output(использую не ipfw, а ipchains, но по-моему >разница не велика). И - запись в log... Потом пингую IP-адресс eth1 >с клиента и смотрю в логе: >  input eth1 x.x.x.x  x.x.x.y >  output eth0 x.x.x.y  x.x.x.x >и пингов никаких >Почему используется цепочка output интерфейса eth0, а не eth1? >Пробовал подключить клиента к eth0. Имею: >  input eth0 x.x.x.x  x.x.x.y >  output eth0 x.x.x.y  x.x.x.x > И пингуется нормально. Но интерфейс eth1 все равно будет не у >дел. > ipfw и ipchains разница есть. Я использую фрю + Ipfw. Проблема возникает потому, что оба интерфейса в одной сети - это ты уже понял. Линукс просто не знает, в какой интерфейс пихать пакет, вот и пихает наугад, или как там по алгоритму. >А насчет BRIDGE я не думал. Он ведь работает на уровне MAC-адрессов, > >а на сетевом уровне его возможности ограничены? Как же тогда будет >работать firewall? незнаю как ipchains, но ipfw прекрасно справляется с фильтрацией bridged пакетов. Но тут он тоже тебе вряд ли поможет. Попробуй настроить свой Zyxel на комутацию (если можно), а не на маршрутизацию. И тогда сможешь сконфигурировать на внешнем интерфейсе линукса тот айпишник, который был у зухеля в интернете. Можно просто заменить его мостом, если конечно есть возможность. > Извини за длинные рассуждения
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "На машине 2 сетевые карты - не пингуются "
	Сообщение от albich on 19-Апр-03, 11:38  (MSK)
	> >Гм... Ну выкиньте этот роутер! Канал от провайдерского комутатора сразу в машину >с Linuxом воткни. А что за Zyxel? Дай точную модель, я >поищу доки. Выкинуть конечно можно, но попозже. Начальник его сам покупал и сказать ему, что он зря деньги выбросил ... Сам понимаешь. К тому же у Zyxelя 3 WAN-порта, можно если что еще куда-то подключиться. Хотя резон в твоих словах есть: на внешнем интерфейсе Linuxa можно использовать тот адрес, что сейчас на WAN-порту Zyxelя, и не трогать сетку Модель: Zyxel Prestige 153x. Дока есть.        А как насчет правила fwd? Ты говорил о них.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.