Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
Blokada wyjścia na świat w jednej z podsieci http://forum.freesco.pl/viewtopic.php?f=22&t=17546 |
Strona 1 z 1 |
Autor: | zocha [ wtorek, 10 marca 2009, 08:08 ] |
Tytuł: | Blokada wyjścia na świat w jednej z podsieci |
Witam, Dotychczas korzystałem z jedynego właściwego operatora telekomunikacyjnego (TM). Na szczęście od początku marca korzystam z porządnego operatora lokalnego (TM). W związku z tym dostałem więcej zewnętrznych numerów IP i chciałbym zmienić trochę strukturę sieci. Dotychczas wyglądało to z grubsza tak: +--------------------+ ADMIN_KOMP--+ eth2 | | NND | RESZTA------+ eth1 eth0 + --->INTERNET +--------------------+ Teraz natomiast chciałbym zmienić strukturę na następującą: +--------------------------------------+ | +--------------------+ | ADMIN_KOMP--+ eth2 | | | NND | | RESZTA------+ eth1 eth0 + -->INTERNET +--------------------+ czyli chcę podłączyć swój komp, który dotychczas chodził za maskaradą bezpośrednio do netu z zewnętrznym IP. Równocześnie chcę zachować podłączenie do eth2, żeby mieć szybki i pewny interfejs administracyjny niezależny od całej reszty. W związku z tym przydałoby się, wyłączyć forwardowanie pakietów z eth2 do internetu przez eth0 (bo takie "równoważenie łącza" mija się w tej chwili z celem a do tego robię pętlę). Jak powinienem takie coś skonfigurować? Pomysły mam dwa. 1. /proc/sys/net/ipv4/conf/eth2/forwarding (strzał, przeglądałem co tam jest) 2. /etc/iptables/firewall moje podejrzenia padają tu na rejony: # Wszystkie polaczenia z innych interfejsow niz interfejs do internetu pozwalamy $i -A INPUT -i ! $EXTIF -j ACCEPT $i -A FORWARD -i ! $EXTIF -j ACCEPT # i maskujemy (wpuszczamy do sieci) if [ "$NETWORK" = "1" ]; then $i -t nat -A POSTROUTING -s 192.168.1.0/26 -o $EXTIF -j SNAT --to 83.3.99.70 $i -t nat -A POSTROUTING -s 192.168.2.0/29 -o $EXTIF -j SNAT --to 83.3.99.70 fi oraz ewentualnie # interfejs lo $i -A INPUT -i lo -j ACCEPT $i -A FORWARD -o lo -j ACCEPT Czy dobrze myślę, że wystarczy zmienić na i zapłotkować $i -t nat -A POSTROUTING -s 192.168.2.0/29 -o $EXTIF -j SNAT --to 83.3.99.70 (3-cia część adresu IP odpowiada numerowi sieciówki)? Pozdrawiam, Łukasz |
Autor: | zciech [ wtorek, 10 marca 2009, 18:28 ] |
Tytuł: | |
+--------------------------------------+ | +--------------------+ | ADMIN_KOMP | | | | NND | | RESZTA------+ eth1 eth0 + --> swicz -->INTERNET +--------------------+ |
Autor: | JakubC [ wtorek, 10 marca 2009, 19:15 ] |
Tytuł: | |
A dlaczego nie przyznasz sobie zewnętrznego adresu IP, na routingu w tej konfiguracji, którą masz teraz? |
Autor: | -MW- [ wtorek, 10 marca 2009, 19:32 ] |
Tytuł: | |
bo dobry admin to taki, ktory ma lepszy net niz reszta klinetow ! zamiast zrobic uzytek i dodac dwie regul iptables, woli ich dodac kilka razy wiecej gdyz ma dobrego pomysla ![]() ps. a wystarczy do kompa z win wsadzic dodatkowa sieciowke i zadne zabiegi nie sa konieczne, pod warunkiem ze komp z windowsem nie robi jako router. zadna petla sie nie zrobi. a jesli chcesz zablokowac dostep do netu z eth2 wystarczy wpisac jedna regule do iptables w filter FORWARD blokujaca ruch z eth2. dostep do routera bedzie a do netu nie. np. iptables -I FORWARD -i eth2 -j DROP |
Autor: | zocha [ wtorek, 10 marca 2009, 22:39 ] |
Tytuł: | |
zciech pisze: +--------------------------------------+ | +--------------------+ | ADMIN_KOMP | | | | NND | | RESZTA------+ eth1 eth0 + --> swicz -->INTERNET +--------------------+ Próbowałem tego rozwiązania, ale ma ono pewne wady:
|
Autor: | zocha [ wtorek, 10 marca 2009, 22:44 ] |
Tytuł: | |
JakubC pisze: A dlaczego nie przyznasz sobie zewnętrznego adresu IP, na routingu w tej konfiguracji, którą masz teraz?
Tak cz siak, możliwość godna rozważenia. |
Autor: | JakubC [ wtorek, 10 marca 2009, 22:53 ] |
Tytuł: | |
zocha pisze: [*]Bo nie wiem, jak skonfigurować DHCP Relay (ale to akurat można szybko zmienić zaglądając do dokumentacji). W ogóle nie musisz mieć serwera dhcp, żeby to zrobić, a już w żadnym razie wcale nie musisz go przekonfigurowywać. Cytuj: [*]Po co obciążać serwer niepotrzebnym ruchem? Nie zauważysz żadnej różnicy w obciążeniu, nawet na p200. Cytuj: Tak cz siak, możliwość godna rozważenia.
Generalnie chyba dobrym pomysłem samemu również być za serwerem. Chyba, że wolisz dowiadywać się od klientów jak działa usługa;) |
Autor: | zocha [ wtorek, 10 marca 2009, 22:57 ] |
Tytuł: | |
-MW- pisze: bo dobry admin to taki, ktory ma lepszy net niz reszta klinetow ! ![]() -MW- pisze: zamiast zrobic uzytek i dodac dwie regul iptables, woli ich dodac kilka razy wiecej gdyz ma dobrego pomysla ![]() Akurat pisałem o "zapłotkowaniu" czyli usunięciu jednej i zmianie innej linijki, więc nie wiem do kogo pijesz. -MW- pisze: ps. a wystarczy do kompa z win wsadzic dodatkowa sieciowke i zadne zabiegi nie sa konieczne, pod warunkiem ze komp z windowsem nie robi jako router. zadna petla sie nie zrobi. Przecież narysowałem dwa łącza wychodzące z ADMIN_KOMP. Gdzie ja pisałem o kompie z Windą? -MW- pisze: a jesli chcesz zablokowac dostep do netu z eth2 wystarczy wpisac jedna regule do iptables w filter FORWARD blokujaca ruch z eth2.
dostep do routera bedzie a do netu nie. np. iptables -I FORWARD -i eth2 -j DROP Dzięki za tą propozycję. Też o tym myślałem. Tylko czy efekt nie będzie identyczny jak wywalenie linii: $i -t nat -A POSTROUTING -s 192.168.2.0/29 -o $EXTIF -j SNAT --to 83.3.99.70 |
Autor: | zocha [ wtorek, 10 marca 2009, 23:00 ] |
Tytuł: | |
JakubC pisze: zocha pisze: [*]Bo nie wiem, jak skonfigurować DHCP Relay (ale to akurat można szybko zmienić zaglądając do dokumentacji). W ogóle nie musisz mieć serwera dhcp, żeby to zrobić, a już w żadnym razie wcale nie musisz go przekonfigurowywać. Tu akurat się nie zgodzę, bo zewnętrzne IP mam przyznawane z DHCP operatora, więc nie mogę go sobie na sztywno wpisać. Natomiast resztę sprzętu wolę mieć na DHCP. Cytuj: Cytuj: Tak cz siak, możliwość godna rozważenia. Generalnie chyba dobrym pomysłem samemu również być za serwerem. Chyba, że wolisz dowiadywać się od klientów jak działa usługa;) Na to już odpisałem. Nie ma klientów (chyba, że mówimy o żonie i dzieciach). ![]() |
Autor: | JakubC [ wtorek, 10 marca 2009, 23:59 ] |
Tytuł: | |
zocha pisze: JakubC pisze: zocha pisze: [*]Bo nie wiem, jak skonfigurować DHCP Relay (ale to akurat można szybko zmienić zaglądając do dokumentacji). W ogóle nie musisz mieć serwera dhcp, żeby to zrobić, a już w żadnym razie wcale nie musisz go przekonfigurowywać. Tu akurat się nie zgodzę, bo zewnętrzne IP mam przyznawane z DHCP operatora, więc nie mogę go sobie na sztywno wpisać. [CIACH] Czyli potrzebujesz klienta DHCP nie serwera. |
Autor: | zocha [ środa, 11 marca 2009, 10:39 ] |
Tytuł: | |
JakubC pisze: zocha pisze: Tu akurat się nie zgodzę, bo zewnętrzne IP mam przyznawane z DHCP operatora, więc nie mogę go sobie na sztywno wpisać. [CIACH] Czyli potrzebujesz klienta DHCP nie serwera. Klient DHCP potrzebny jest, żeby serwer pobrał swój adres. Natomiast, z tego co wiem, pobranie adresu z innego serwera DHCP w odpowiedzi na rządanie wysłane przez klienta, to już DHCP relay. Przecież ADMIN_KOMP leży sobie za serwerem i pyta po DHCP o adres IP, a serwer go nie zna, więc musi zapytać dalej. Chyba, że czegoś nie rozumiem. Oczywiście sytuacja byłaby inna, gdyby na serwerze nie chodził serwer DHCP, ale chodzi żeby przyznawać IP prywatne reszcie urządzeń w sieci. |
Autor: | -MW- [ czwartek, 12 marca 2009, 02:07 ] |
Tytuł: | |
Cytuj: Klient DHCP potrzebny jest, żeby serwer pobrał swój adres. dobrze byloby, aby nie mylic pojec router serwer client.
|
Autor: | zocha [ poniedziałek, 16 marca 2009, 14:54 ] |
Tytuł: | |
-MW- pisze: Cytuj: Klient DHCP potrzebny jest, żeby serwer pobrał swój adres. dobrze byloby, aby nie mylic pojec router serwer client.Masz rację. Oczywiście chodziło mi tutaj o router. Napiszę może jeszcze jak w końcu rozwiązałem to, o co pytałem od początku. W chyba najprostszy sposób - nie wpisując w parametrach połączenia między ADMIN_COMP a routerem bramy domyślnej (default gateway). W tym momencie system nie próbuje się przez tę kartę łączyć z netem, o co mi chodziło. |
Strona 1 z 1 | Strefa czasowa UTC+2godz. |
Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |