форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Маршрутизация подсетей"
Сообщение от ABS on 15-Мрт-04, 00:25  (MSK)
Господа, вопрос. Стоит роутер со следующим набором правил по стандарту add 00051 divert 8668 ip from any to me via em0 add 00100 allow ip from any to me add 00200 allow ip from me to any add 60000 deny ip from any to any Через роутер ходят в интернет задавая следующий комплект правил для включения: 05198 allow ip from any to 192.168.1.100 05199 allow ip from 192.168.1.100 to any У роутера IP - 192.168.1.1 Была подсетка 192.168.1/24 Открылась подсетка 192.168.2/24 Маска в первой подсети стоит 255.255.255.0 и заменить ее сразу проблематично. Соответственно весь трафик во вторую из первой идет через роутер, что не есть хорошо. Так вот, нужно закрыть марщрутизацию из первой подсети в другую и наоборот. При этом оставив маршрутизацию во внешний мир. Какие варианты можете предложить?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Маршрутизация подсетей"
Сообщение от ABS on 15-Мрт-04, 22:19  (MSK)
UP, можт не заметили
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Маршрутизация подсетей"
	Сообщение от Nikolaev D. on 15-Мрт-04, 22:29  (MSK)
	>UP, можт не заметили изложите вопрос внятно.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Маршрутизация подсетей"
	Сообщение от ABS on 15-Мрт-04, 22:52  (MSK)
	>>UP, можт не заметили > > >изложите вопрос внятно. Извиняюсь, а что не внятно? Мне нужен вариант, как фаерволом, натом, либо еще чем то закрыть маршрут из одной моей подсетки в другую... Так чтоб трафик между ними не фигачил через сервер. При этом я описываю ту ситуацию, которая сейчас есть на сервере, который нельзя остановить, и изменения нужно внести налету. Без экспериментов. Кто-нибудь может предложить наиболее грамотный вариант в данной ситуации?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Маршрутизация подсетей"
	Сообщение от Nikolaev D. on 16-Мрт-04, 00:15  (MSK)
	>Мне нужен вариант, как фаерволом, натом, либо еще чем то закрыть маршрут >из одной моей подсетки в другую... Так чтоб трафик между ними >не фигачил через сервер. ipfw add 100 deny ip from 192.168.0.1/24 to 192.168.0.2/24 via внтур_интерфейс ipfw add 200 deny ip from 192.168.0.2/24 to 192.168.0.1/24 via внтур_интерфейс man ipfw
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Маршрутизация подсетей"
	Сообщение от ABS on 16-Мрт-04, 00:42  (MSK)
	>>Мне нужен вариант, как фаерволом, натом, либо еще чем то закрыть маршрут >>из одной моей подсетки в другую... Так чтоб трафик между ними >>не фигачил через сервер. > > >ipfw add 100 deny ip from 192.168.0.1/24 to 192.168.0.2/24 via внтур_интерфейс >ipfw add 200 deny ip from 192.168.0.2/24 to 192.168.0.1/24 via внтур_интерфейс > >man ipfw Спсибо за ответ. Я конечно понимаю, тут сидят крайне умные админы, лишь бы тыкнуть мордой в ман... Может у меня конечно заклин, и я чего то не понимаю. Но, внимательно почитать мое первое сообщение не мешало бы. А вот у меня нат бежит... Что будет с ним? И интерфейс тут совершенно не причем. Шлюз у меня на этом сервере. ipfw add 100 deny ip from 192.168.1.1/24 to 192.168.0.2/24 via внтур_интерфейс ipfw add 200 deny ip from 192.168.2.1/24 to 192.168.0.1/24 via внтур_интерфейс Смотрим - побежал пакетик из внешней сети во внутреннею внутренний адрес 192.168.2.33 внешний адрес 213.180.x.x допустим ситуация сейчас ipfw list 00051 divert 8668 ip from any to me via em0 00100 allow ip from any to me 00200 allow ip from me to any 06034 allow ip from any to 192.168.2.33 06034 allow ip from 192.168.2.33 to any 60000 deny ip from any to any добавляем указанные выше правила 00051 divert 8668 ip from any to me via em0 00100 allow ip from any to me 00200 allow ip from me to any 00300 deny ip from 192.168.1.1/24 to 192.168.2.1/24 via внтур_интерфейс 00400 deny ip from 192.168.2.1/24 to 192.168.1.1/24 via внтур_интерфейс 06033 allow ip from any to 192.168.2.33 06034 allow ip from 192.168.2.33 to any 60000 deny ip from any to any Но, мы помним, что у шлюза на внутреннем интерфейсе как раз 192.168.1.1, который входит в эту подсетку 192.168.1.1/24. Что будет в этом случае? Ну, никак не получается полноценного варианта,  либо 06033 allow ip from any to 192.168.2.33 06034 allow ip from 192.168.2.33 to any отменит все. Либо, вот это не даст работать вообще ничему. 00300 deny ip from 192.168.1.1/24 to 192.168.2.1/24 via внтур_интерфейс
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.