no wlasnie, ale ten skrypt przekieruje tylko jedno IP TU jest ,
I ja zrozumialem, ze Marcjan chce aby router byl bez NAT, ale chyba sie to nie uda.
| Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
| Transparentny NND http://forum.freesco.pl/viewtopic.php?f=22&t=16673 |
Strona 1 z 2 |
| Autor: | Marcjan [ czwartek, 13 marca 2008, 09:13 ] |
| Tytuł: | Transparentny NND |
Wiatam serdecznie Czy można ustawić NND transparentnie bez NAT-a Jeśli tak to bardzo proszę o pomoc. Od dwóch dni mam symetryka z Dialogu który wymaga podłączenia TRANSPARENTNEGO rotera (połączeniowego) za którym mam 14 adresów zewn. Nie chcę kupować routera sprzętowego bo to spory wydatek. Proszę o pomoc. DZIĘKI!! |
|
| Autor: | rikardo7 [ czwartek, 13 marca 2008, 16:47 ] |
| Tytuł: | |
a ile kompow ma chodzic na tych 14-u adresach? Cytuj: ...wymaga podłączenia TRANSPARENTNEGO rotera...
dlaczego tak uwazasz? |
|
| Autor: | Albercik [ czwartek, 13 marca 2008, 17:15 ] |
| Tytuł: | |
rikardo7 pisze: a ile kompow ma chodzic na tych 14-u adresach?
Cytuj: ...wymaga podłączenia TRANSPARENTNEGO rotera... dlaczego tak uwazasz? połącz interfejsy LAN w NND w bridgu, i zastosuj proxyarp lub wersję, którą kiedyś Tasiorek podawał, skrypt nazywał się rc.zewn. |
|
| Autor: | rikardo7 [ czwartek, 13 marca 2008, 17:36 ] |
| Tytuł: | |
no wlasnie, ale ten skrypt przekieruje tylko jedno IP TU jest , I ja zrozumialem, ze Marcjan chce aby router byl bez NAT, ale chyba sie to nie uda.
|
|
| Autor: | Marcjan [ czwartek, 13 marca 2008, 18:09 ] |
| Tytuł: | |
tak dokładnie NND ma być przeźroczyste bez NAT-a |
|
| Autor: | Albercik [ czwartek, 13 marca 2008, 18:22 ] |
| Tytuł: | |
rikardo7 pisze: no wlasnie, ale ten skrypt przekieruje tylko jedno IP TU jest ,
I ja zrozumialem, ze Marcjan chce aby router byl bez NAT, ale chyba sie to nie uda. Nie jedno tylko dowolne jakie sobie wpiszesz, poza tym jeśli nie o to chodzi to proxyarp i bridge, albo samo bridge. |
|
| Autor: | rikardo7 [ czwartek, 13 marca 2008, 18:23 ] |
| Tytuł: | |
| chodzi mi o to, ze ten plik jest do przekierowania jednego IP wewnetrznego na jeden IP zewnetrzny.
|
|
| Autor: | zciech [ czwartek, 13 marca 2008, 18:38 ] |
| Tytuł: | Re: Transparentny NND |
Marcjan pisze: Wiatam serdecznie
Czy można ustawić NND transparentnie bez NAT-a Postawisz 3 płotki: # i maskujemy # if [ "$NETWORK" = "1" ]; then # $i -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE # fi |
|
| Autor: | marcin w [ czwartek, 13 marca 2008, 20:19 ] |
| Tytuł: | |
Witam Też myślałem o tym. Nie dawno pisałem o publicznych adresach IP w sieci LAN w dziale networking. By to zadziało, należy podnieść na karcie sieciowej od LAN interfejs, który będzie miał publiczny adres IP, który będzie bramą dla komputerów w sieci. Ale ... na interfejsie WAN są otwarte tylko wybrane porty, na przykład u mnie tylko port 80 dla serwera WWW. W przypadku interfejsu LAN jest: $i -A INPUT -i ! $EXTIF -j ACCEPT $i -A FORWARD -i ! $EXTIF -j ACCEPT Jest on otwarty. Jako że serwer jest przezroczysty, dostęp do adresu IP na którym jest sieciówka LAN, jest otwarty. Jak sobie z tym poradzić, zablokować do niego dostępu nie mogę, bo hosty w sieci, muszą mieć do niego dostęp. Bez dostępu nawet nie pobiorą adresu IP z DHCP. Jak rozwiązać ten problem ??? |
|
| Autor: | czerwo [ czwartek, 13 marca 2008, 20:36 ] |
| Tytuł: | Re: Transparentny NND |
zciech pisze: Marcjan pisze: Wiatam serdecznie Czy można ustawić NND transparentnie bez NAT-a Postawisz 3 płotki: # i maskujemy # if [ "$NETWORK" = "1" ]; then # $i -t nat -A POSTROUTING -o $EXTIF -j MASQUERADE # fi moze lepiej w rc.confie zmienic na 0?? :> |
|
| Autor: | zciech [ czwartek, 13 marca 2008, 21:41 ] |
| Tytuł: | Re: Transparentny NND |
czerwo pisze: moze lepiej w rc.confie zmienic na 0?? :> Obawiam się, że nie.  Cytuj: Jest on otwarty. Jako że serwer jest przezroczysty, dostęp do adresu IP na którym jest sieciówka LAN, jest otwarty.
Nie sądze. Adres publiczny sieciowki LAN jest traktowany jak adres serwera i dostep do niego od strony internetu jest przez łańcuch INPUT a ten zezwala tylko na okreslone usługi jak piszesz. To nie jest tak, że one zawracaja w sieciówce, znaczy pakiety IP |
|
| Autor: | marcin w [ czwartek, 13 marca 2008, 22:05 ] |
| Tytuł: | |
Nie rozumiem Zakładamy typową maszynę, w której eth0 to interfejs WAN o adresie IP_WAN, a eth1 to interfejs LAN o adresie IP_LAN. Oba interfejsy posiadają publiczny adres IP. Na eth0 otwarty jest tylko port 80, na którym zasłuchuje apache. Interfejs eth1 jest otwarty, dokonują tego reguły $i -A INPUT -i ! $EXTIF -j ACCEPT $i -A FORWARD -i ! $EXTIF -j ACCEPT Dowolny host znajdujący się po stronie WAN wpisuje w przeglądarce adres IP_WAN. Otwiera mu się strona z serwera apache, który jest na tej maszynie. Ma dostęp do tego interfejsu eth0, zezwala mu na to łańcuch INPUT, który otwiera port 80 na eth0. A co w przypadku, gdy wpisze adres IP_LAN? Reguły INPUT dają pełen dostęp do tego interfejsu eth1. Przecież publiczny adres IP widać z każdego miejsca w sieci internet. Dlaczego ma wówczas nie mieć dostępu to tego interfejsu użytkownik znajdujący się na zewnątrz sieci lokalnej ? Proszę o bardziej szczegółowe opisanie tego zagadnienia. |
|
| Autor: | zciech [ czwartek, 13 marca 2008, 23:13 ] |
| Tytuł: | |
A dlaczego by miał mieć? Wszak on wchodzi do serwera przez EXTIF ! |
|
| Autor: | luk1401 [ piątek, 14 marca 2008, 00:02 ] |
| Tytuł: | |
Powiedz coś więcej o tym symetryku z dialogu, bo na ich stronie nie wiele jest... |
|
| Autor: | marcin w [ piątek, 14 marca 2008, 19:49 ] |
| Tytuł: | |
Chwilowo zostawię temat dostępu do sieciówki od strony LAN. Teraz mam problem z uruchomieniem publicznej adresacji IP. Na razie cały czas jest NAT, w sieci po stronie LAN jest adresacja prywatna. Mam przydzieloną pulę 8 publicznych adresów IP w postaci 85.aa.bb.cc / 255.255.255.248. Rozumiem że ten adres 85.aa.bb.cc to adres sieci, a adres 85.aa.bb.cc+8 to broadcast. Chciałem przetestować konfigurację. Podniosłem interfejs eth1:2 ifconfig eth1:2 85.aa.bb.cc+1 broadcast 85.aa.bb.cc+8 netmask 255.255.255.248 up Sieciówkę pod moim prywatnym PC ustawiłem tak: IP 85.aa.bb.cc+2 maska 255.255.255.248 Brama 85.aa.bb.cc+1 DNS 85.aa.bb.cc+1 No i lipa, nie działa mi nic, nie mam dostępu do serwera ze swojego PC. Do serwera nawet ping nie idzie. Gdzie ja popełniam błąd ? |
|
| Autor: | zciech [ piątek, 14 marca 2008, 20:40 ] |
| Tytuł: | |
Nie wiem dlaczego, ale wcale Ci nie wierze. Gdybyś wszystko miał tak jak piszesz, że masz to by Ci działało. Sprawdz czy iterfejsy maja adresy/maski takie jak piszesz ze maja; sprawdz routing w obu maszynach; sprawdz czy firewal nie blokuje. |
|
| Autor: | marcin w [ piątek, 14 marca 2008, 20:46 ] |
| Tytuł: | |
Nie wspomniałem o pliku ethers. Mam IP przypisane do MAC. Dodałem do tego pliku kolejny wiersz z publ adresem IP i MAC karty, ale polecenie arp -f zwraca błąd: arp: cannot set entry on line 16 of etherfile /etc/ethers ! Może nie mam dostępu do serwera poprzez brak przypisania tego adresu do MAC karty ? Konfiguracja jest na pewno dobrze, dwa razy konfigurowałem i sprawdzałem. Jestem 100 % pewien, że nie popełniłem literówki. Poradźcie coś. |
|
| Autor: | zciech [ piątek, 14 marca 2008, 21:00 ] |
| Tytuł: | |
Cytuj: Może nie mam dostępu do serwera poprzez brak przypisania tego adresu do MAC karty. raczej wręcz przeciwnie, przez przypisanie do MAC innego IP (tego co masz normalnie)
|
|
| Autor: | marcin w [ piątek, 14 marca 2008, 21:51 ] |
| Tytuł: | |
zciech pisze: raczej wręcz przeciwnie, przez przypisanie do MAC innego IP (tego co masz normalnie)
Wpisałem w pliku ethers w miejsce dotychczasowego IP prywatnego swoje nowe publiczne IP . Wydałem polecenie arp -f. Po zmianie adresu w ethers i wydaniu polecenia arp -f nie powinienem mieć dostępu do serwera i zasobów sieci do czasu zmiany na swoim PC adresu na publiczny. A mimo tego mam. A po zmianie adresu na publiczny wszystko sie wywala, nie mam komunikacji z serwerem. |
|
| Autor: | marcin w [ piątek, 14 marca 2008, 22:55 ] |
| Tytuł: | |
Już jedną barierę przebrnąłem. Restart routera pomógł. teraz mogę pingować z PC serwer i odwrotnie. Ale na PC dalej nie mam dostępu do internetu. Po wpisaniu w przeglądarce bramy (tej na adresie publiczym) nic nie ładuje się. Czy nie powinna się otworzć strona startowa serwera z apache ? Pingowałem również bramę z zewnątrz sieci. Pingi przechodzą do bramy, ale już na ping z zewnątrz sieci mój pc nie odpowiada. Coś mi to nie wychodzi .... Ma toś pomysł na to rozwiązanie ? PS Równolegle jeszcze pracuje NAT bo w LAN dalej mam klientów z prywatnymi adresami, wyłaczenie NAT odetnie im dostęp do internetu. |
|
| Strona 1 z 2 | Strefa czasowa UTC+2godz. |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|