forum.opennet.ru - "real IP - нужен совет " (8)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"real IP - нужен совет "

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"real IP - нужен совет "
Сообщение от nece on 05-Мрт-05, 12:35 (MSK)
Мужики помогите советом, что то я запутался. Проблема следующая: 1)Есть выданный блок реальных ip скажем 44.44.44.0-254 2)Есть ip и маска вышестоящего маршрутизатора (ip 22.22.22.1) 3)Выход в интернет осуществляется через eth0 eth0 (inet) 44.44.44.1 eth1 (local) 192.168.y.z Задача: Нужно дать реальный ip машине из локальной сети. Правильно ли я понимаю решение задачи? eth0 (inet) 44.44.44.1 eth1 (local) 192.168.y.z eth1:1 (lacal2)44.44.44.2 клиенту в сети даю ip 44.44.44.3
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

real IP - нужен совет , de_mone, 12:44 , 05-Мрт-05, (1)
real IP - нужен совет , _KAV_, 12:45 , 05-Мрт-05, (2)
real IP - нужен совет , jonatan, 12:51 , 05-Мрт-05, (3)
- real IP - нужен совет , jonatan, 13:40 , 05-Мрт-05, (4)
  - realIP - нужен совет, dimus, 14:58 , 05-Мрт-05, (5)
    - realIP - нужен совет, nece, 19:25 , 05-Мрт-05, (6)
      - realIP - нужен совет, _KAV_, 11:00 , 06-Мрт-05, (7)
        
        realIP - нужен совет, _KAV_, 11:58 , 06-Мрт-05, (8)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "real  IP - нужен совет  "

Сообщение от de_mone (??) on 05-Мрт-05, 12:44  (MSK)

>Мужики помогите советом, что то я запутался.
>
В общем то да. Машина будет работать как роутер между eth0 и eth1:1.
Проще всего организовать DMZ. Можно как на тазике, так и Internet Broadband Router (напр. XRT -410D Planet).
надеюсь помог.
>Проблема следующая:
>1)Есть выданный блок реальных ip скажем 44.44.44.0-254
>2)Есть ip и маска вышестоящего маршрутизатора (ip 22.22.22.1)
>3)Выход в интернет осуществляется через eth0
>eth0 (inet) 44.44.44.1
>eth1 (local) 192.168.y.z
>
>Задача:
>Нужно дать реальный ip машине из локальной сети.
>
>Правильно ли я понимаю решение задачи?
>eth0 (inet) 44.44.44.1
>eth1 (local) 192.168.y.z
>eth1:1 (lacal2)44.44.44.2
>
>клиенту в сети даю ip 44.44.44.3

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "real  IP - нужен совет  "

Сообщение от _KAV_ (ok) on 05-Мрт-05, 12:45  (MSK)

>Правильно ли я понимаю решение задачи?
Неправильно.
1 - вешай алиас на внешнюю карту рутера и пробрасывай внутрь все что на нее идет
2 - создавай внешнюю подсеть real ip, внутреннюю сеть real ip, и настраивай маршрутизацию

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "real  IP - нужен совет  "

Сообщение от jonatan (??) on 05-Мрт-05, 12:51  (MSK)

Попробуй так
eth0 44.44.44.1/24
eth1 192.168.y.z/24
eth1:1 44.44.44.253/30
клиенту в сети 44.44.44.254/30

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "real  IP - нужен совет  "

Сообщение от jonatan (??) on 05-Мрт-05, 13:40  (MSK)

Думаю нужно еще будет включить proxy_arp
echo 1 > /proc/sys/net/ipv4/conf/eth0/proxy_arp
echo 1 > /proc/sys/net/ipv4/conf/eth1/proxy_arp

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "realIP - нужен совет"

Сообщение от dimus (??) on 05-Мрт-05, 14:58  (MSK)

Как вариант - подключи еще одну сетевую в роутер и сделай отдельную внешнюю сетку. В таком варианте у тебя будет более высокий уровень безопасности для клиентов сети 192.168.а.б, так как в варианте с друмя адресами на одной сетевухе ты получаешь две разные сети на уровне ИП, но на уровне МАС сеть по прежнему одна. И если враг залезет на одну из твоих машин, то он сможет сделать тебе много гадостей, вплоть до вырубания всей сетки. А уж инфу слить - это как два байта переслать.

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "realIP - нужен совет"

Сообщение от nece on 05-Мрт-05, 19:25  (MSK)

>Как вариант - подключи еще одну сетевую в роутер и сделай отдельную
>внешнюю сетку. В таком варианте у тебя будет более высокий уровень
>безопасности для клиентов сети 192.168.а.б, так как в варианте с друмя
>адресами на одной сетевухе ты получаешь две разные сети на уровне
>ИП, но на уровне МАС сеть по прежнему одна. И если
>враг залезет на одну из твоих машин, то он сможет сделать
>тебе много гадостей, вплоть до вырубания всей сетки. А уж инфу
>слить - это как два байта переслать.
За дельные советы спасибо.
Для того что бы всё сделать правильно мне надо понять
как делать по физике и логике.
Если я правильно всё понял то надо делать так:
gw.provider.net [eth0   22.22.22.193 ]
                |
                |
gw.your.net     [eth0   22.22.22.194 mask 255.255.255.248 df_gw ...193]
gw.your.net     [eth1   22.22.22.195 mask 255.255.255.248]
                [eth1:1 192.168.0.1/24]
                |
           [hub/switch]
            |       |
            |       \___user1.your.net
            |         [ip 22.22.22.196 mask 255.255.255.252]
            |         [def_gw 22.22.22.195]
            |
  user1.nat.your.net
[ip 192.168.0.11/24]
[def_gw 192.168.0.1]

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "realIP - нужен совет"

Сообщение от _KAV_ (ok) on 06-Мрт-05, 11:00  (MSK)

Неправильно...
Пакет на eth1 просто не пойдет
Правильно - (один из вариантов)
gw.provider.net [eth0   22.22.22.193 ]
                |
                |
gw.your.net     [eth0   22.22.22.194 mask 255.255.255.248 df_gw ...193]
                [eth0:1   22.22.22.195 mask 255.255.255.248]
все приходящее на 195 пробрасывается DNAT к примеру на машину 192.168.0.254
gw.your.net     [eth1:1 192.168.0.1/24]
                |
           [hub/switch]
            |       |
            |       \___user1.your.net
            |         [ip 192.168.0.254 mask 255.255.255.0]
            |         [def_gw 192.168.0.1]
            |
  user1.nat.your.net
[ip 192.168.0.11/24]
[def_gw 192.168.0.1]
Собсно, хаб или свич здесь не при чем.
Но _аккуратнее_ в сервер воткнуть еще одну карту , дать ей сетку 192.168.1 и все компы, предоставляющие внешние сервисы, совать туда

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "realIP - нужен совет"

Сообщение от _KAV_ (ok) on 06-Мрт-05, 11:58  (MSK)

Перед уходом решил сделать пару комментариев...
В исходной схеме рутер провайдера при приходе пакета на 22.22.22.195 по маске ищет в _очень_локальной_ сети, соединяющей контору и провайдера, этот адрес локально - и не находит его, ибо там только адреса 22.22.22.193 и 194. Пакет умер. Если же повесить алиас на внешнюю карту - он этот адрес найдет и передаст пакет именно туда. А уж задача рутера конотры оттранслировать это обращение во внутреннее и передать во внутреннюю сеть. Аналогично ответ внутреннего сервера оттранслируется в реальный ip и уйдет наружу.
И - совет сделать отдельную внутреннюю сетку для DMZ на отдельной карте очень хорош... Вы даже не представляете, _насколько_ dimus прав...
P.S. Это только один из вариантов, но, пожалуй, самый универсальный и надежный.

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "real IP - нужен совет "
Сообщение от de_mone (??) on 05-Мрт-05, 12:44 (MSK)
>Мужики помогите советом, что то я запутался. > В общем то да. Машина будет работать как роутер между eth0 и eth1:1. Проще всего организовать DMZ. Можно как на тазике, так и Internet Broadband Router (напр. XRT -410D Planet). надеюсь помог. >Проблема следующая: >1)Есть выданный блок реальных ip скажем 44.44.44.0-254 >2)Есть ip и маска вышестоящего маршрутизатора (ip 22.22.22.1) >3)Выход в интернет осуществляется через eth0 >eth0 (inet) 44.44.44.1 >eth1 (local) 192.168.y.z > >Задача: >Нужно дать реальный ip машине из локальной сети. > >Правильно ли я понимаю решение задачи? >eth0 (inet) 44.44.44.1 >eth1 (local) 192.168.y.z >eth1:1 (lacal2)44.44.44.2 > >клиенту в сети даю ip 44.44.44.3
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

2. "real IP - нужен совет "
Сообщение от _KAV_ (ok) on 05-Мрт-05, 12:45 (MSK)
>Правильно ли я понимаю решение задачи? Неправильно. 1 - вешай алиас на внешнюю карту рутера и пробрасывай внутрь все что на нее идет 2 - создавай внешнюю подсеть real ip, внутреннюю сеть real ip, и настраивай маршрутизацию
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

3. "real IP - нужен совет "
Сообщение от jonatan (??) on 05-Мрт-05, 12:51 (MSK)
Попробуй так eth0 44.44.44.1/24 eth1 192.168.y.z/24 eth1:1 44.44.44.253/30 клиенту в сети 44.44.44.254/30
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "real IP - нужен совет "
	Сообщение от jonatan (??) on 05-Мрт-05, 13:40 (MSK)
	Думаю нужно еще будет включить proxy_arp echo 1 > /proc/sys/net/ipv4/conf/eth0/proxy_arp echo 1 > /proc/sys/net/ipv4/conf/eth1/proxy_arp
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "realIP - нужен совет"
	Сообщение от dimus (??) on 05-Мрт-05, 14:58 (MSK)
	Как вариант - подключи еще одну сетевую в роутер и сделай отдельную внешнюю сетку. В таком варианте у тебя будет более высокий уровень безопасности для клиентов сети 192.168.а.б, так как в варианте с друмя адресами на одной сетевухе ты получаешь две разные сети на уровне ИП, но на уровне МАС сеть по прежнему одна. И если враг залезет на одну из твоих машин, то он сможет сделать тебе много гадостей, вплоть до вырубания всей сетки. А уж инфу слить - это как два байта переслать.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "realIP - нужен совет"
	Сообщение от nece on 05-Мрт-05, 19:25 (MSK)
	>Как вариант - подключи еще одну сетевую в роутер и сделай отдельную >внешнюю сетку. В таком варианте у тебя будет более высокий уровень >безопасности для клиентов сети 192.168.а.б, так как в варианте с друмя >адресами на одной сетевухе ты получаешь две разные сети на уровне >ИП, но на уровне МАС сеть по прежнему одна. И если >враг залезет на одну из твоих машин, то он сможет сделать >тебе много гадостей, вплоть до вырубания всей сетки. А уж инфу >слить - это как два байта переслать. За дельные советы спасибо. Для того что бы всё сделать правильно мне надо понять как делать по физике и логике. Если я правильно всё понял то надо делать так: gw.provider.net [eth0 22.22.22.193 ] \| \| gw.your.net [eth0 22.22.22.194 mask 255.255.255.248 df_gw ...193] gw.your.net [eth1 22.22.22.195 mask 255.255.255.248] [eth1:1 192.168.0.1/24] \| [hub/switch] \| \| \| \___user1.your.net \| [ip 22.22.22.196 mask 255.255.255.252] \| [def_gw 22.22.22.195] \| user1.nat.your.net [ip 192.168.0.11/24] [def_gw 192.168.0.1]
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "realIP - нужен совет"
	Сообщение от _KAV_ (ok) on 06-Мрт-05, 11:00 (MSK)
	Неправильно... Пакет на eth1 просто не пойдет Правильно - (один из вариантов) gw.provider.net [eth0 22.22.22.193 ] \| \| gw.your.net [eth0 22.22.22.194 mask 255.255.255.248 df_gw ...193] [eth0:1 22.22.22.195 mask 255.255.255.248] все приходящее на 195 пробрасывается DNAT к примеру на машину 192.168.0.254 gw.your.net [eth1:1 192.168.0.1/24] \| [hub/switch] \| \| \| \___user1.your.net \| [ip 192.168.0.254 mask 255.255.255.0] \| [def_gw 192.168.0.1] \| user1.nat.your.net [ip 192.168.0.11/24] [def_gw 192.168.0.1] Собсно, хаб или свич здесь не при чем. Но _аккуратнее_ в сервер воткнуть еще одну карту , дать ей сетку 192.168.1 и все компы, предоставляющие внешние сервисы, совать туда
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "realIP - нужен совет"
	Сообщение от _KAV_ (ok) on 06-Мрт-05, 11:58 (MSK)
	Перед уходом решил сделать пару комментариев... В исходной схеме рутер провайдера при приходе пакета на 22.22.22.195 по маске ищет в _очень_локальной_ сети, соединяющей контору и провайдера, этот адрес локально - и не находит его, ибо там только адреса 22.22.22.193 и 194. Пакет умер. Если же повесить алиас на внешнюю карту - он этот адрес найдет и передаст пакет именно туда. А уж задача рутера конотры оттранслировать это обращение во внутреннее и передать во внутреннюю сеть. Аналогично ответ внутреннего сервера оттранслируется в реальный ip и уйдет наружу. И - совет сделать отдельную внутреннюю сетку для DMZ на отдельной карте очень хорош... Вы даже не представляете, _насколько_ dimus прав... P.S. Это только один из вариантов, но, пожалуй, самый универсальный и надежный.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх