Freesco, NND, CDN, EOS

Wiatam serdecznie
Czy można ustawić NND transparentnie bez NAT-a
Jeśli tak to bardzo proszę o pomoc. Od dwóch dni mam symetryka z Dialogu który wymaga podłączenia TRANSPARENTNEGO rotera (połączeniowego) za którym mam 14 adresów zewn. Nie chcę kupować routera sprzętowego bo to spory wydatek. Proszę o pomoc. DZIĘKI!!

_________________
A życie zapier... jak Forest Gump

a ile kompow ma chodzic na tych 14-u adresach?

dlaczego tak uwazasz?

połącz interfejsy LAN w NND w bridgu, i zastosuj proxyarp lub wersję, którą kiedyś Tasiorek podawał, skrypt nazywał się rc.zewn.

_________________
Internet TV telefon - Nakło nad Notecią
NoNieno.pl - urywa gacie
Szybkie kobiety i piękne samochody

no wlasnie, ale ten skrypt przekieruje tylko jedno IP TU jest ,
I ja zrozumialem, ze Marcjan chce aby router byl bez NAT, ale chyba sie to nie uda.

tak dokładnie NND ma być przeźroczyste bez NAT-a

_________________
A życie zapier... jak Forest Gump

Nie jedno tylko dowolne jakie sobie wpiszesz, poza tym jeśli nie o to chodzi to proxyarp i bridge, albo samo bridge.

_________________
Internet TV telefon - Nakło nad Notecią
NoNieno.pl - urywa gacie
Szybkie kobiety i piękne samochody

chodzi mi o to, ze ten plik jest do przekierowania jednego IP wewnetrznego na jeden IP zewnetrzny.

Postawisz 3 płotki:

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz

Witam

Też myślałem o tym. Nie dawno pisałem o publicznych adresach IP w sieci LAN w dziale networking. By to zadziało, należy podnieść na karcie sieciowej od LAN interfejs, który będzie miał publiczny adres IP, który będzie bramą dla komputerów w sieci.

Ale ... na interfejsie WAN są otwarte tylko wybrane porty, na przykład u mnie tylko port 80 dla serwera WWW. W przypadku interfejsu LAN jest:

$i -A INPUT -i ! $EXTIF -j ACCEPT
$i -A FORWARD -i ! $EXTIF -j ACCEPT

Jest on otwarty. Jako że serwer jest przezroczysty, dostęp do adresu IP na którym jest sieciówka LAN, jest otwarty. Jak sobie z tym poradzić, zablokować do niego dostępu nie mogę, bo hosty w sieci, muszą mieć do niego dostęp. Bez dostępu nawet nie pobiorą adresu IP z DHCP.

Jak rozwiązać ten problem ???

moze lepiej w rc.confie zmienic na 0?? :>

_________________

Obawiam się, że nie.

Nie sądze.
Adres publiczny sieciowki LAN jest traktowany jak adres serwera i dostep do niego od strony internetu jest przez łańcuch INPUT a ten zezwala tylko na okreslone usługi jak piszesz.
To nie jest tak, że one zawracaja w sieciówce, znaczy pakiety IP

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz

Nie rozumiem

Zakładamy typową maszynę, w której eth0 to interfejs WAN o adresie IP_WAN, a eth1 to interfejs LAN o adresie IP_LAN. Oba interfejsy posiadają publiczny adres IP. Na eth0 otwarty jest tylko port 80, na którym zasłuchuje apache. Interfejs eth1 jest otwarty, dokonują tego reguły

$i -A INPUT -i ! $EXTIF -j ACCEPT
$i -A FORWARD -i ! $EXTIF -j ACCEPT

Dowolny host znajdujący się po stronie WAN wpisuje w przeglądarce adres IP_WAN. Otwiera mu się strona z serwera apache, który jest na tej maszynie. Ma dostęp do tego interfejsu eth0, zezwala mu na to łańcuch INPUT, który otwiera port 80 na eth0.

A co w przypadku, gdy wpisze adres IP_LAN? Reguły INPUT dają pełen dostęp do tego interfejsu eth1. Przecież publiczny adres IP widać z każdego miejsca w sieci internet. Dlaczego ma wówczas nie mieć dostępu to tego interfejsu użytkownik znajdujący się na zewnątrz sieci lokalnej ?

Proszę o bardziej szczegółowe opisanie tego zagadnienia.

A dlaczego by miał mieć? Wszak on wchodzi do serwera przez EXTIF !

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz

Powiedz coś więcej o tym symetryku z dialogu, bo na ich stronie nie wiele jest...

Chwilowo zostawię temat dostępu do sieciówki od strony LAN.

Teraz mam problem z uruchomieniem publicznej adresacji IP. Na razie cały czas jest NAT, w sieci po stronie LAN jest adresacja prywatna.

Mam przydzieloną pulę 8 publicznych adresów IP w postaci 85.aa.bb.cc / 255.255.255.248. Rozumiem że ten adres 85.aa.bb.cc to adres sieci, a adres 85.aa.bb.cc+8 to broadcast.

Chciałem przetestować konfigurację. Podniosłem interfejs eth1:2



Sieciówkę pod moim prywatnym PC ustawiłem tak:

IP 85.aa.bb.cc+2
maska 255.255.255.248
Brama 85.aa.bb.cc+1
DNS 85.aa.bb.cc+1

No i lipa, nie działa mi nic, nie mam dostępu do serwera ze swojego PC. Do serwera nawet ping nie idzie.

Gdzie ja popełniam błąd ?

Nie wiem dlaczego, ale wcale Ci nie wierze.
Gdybyś wszystko miał tak jak piszesz, że masz to by Ci działało.

Sprawdz czy iterfejsy maja adresy/maski takie jak piszesz ze maja;
sprawdz routing w obu maszynach;
sprawdz czy firewal nie blokuje.

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz

Nie wspomniałem o pliku ethers. Mam IP przypisane do MAC. Dodałem do tego pliku kolejny wiersz z publ adresem IP i MAC karty, ale polecenie arp -f zwraca błąd:

arp: cannot set entry on line 16 of etherfile /etc/ethers !

Może nie mam dostępu do serwera poprzez brak przypisania tego adresu do MAC karty ?

Konfiguracja jest na pewno dobrze, dwa razy konfigurowałem i sprawdzałem. Jestem 100 % pewien, że nie popełniłem literówki.

Poradźcie coś.

raczej wręcz przeciwnie, przez przypisanie do MAC innego IP (tego co masz normalnie)

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz

Wpisałem w pliku ethers w miejsce dotychczasowego IP prywatnego swoje nowe publiczne IP . Wydałem polecenie arp -f. Po zmianie adresu w ethers i wydaniu polecenia arp -f nie powinienem mieć dostępu do serwera i zasobów sieci do czasu zmiany na swoim PC adresu na publiczny. A mimo tego mam. A po zmianie adresu na publiczny wszystko sie wywala, nie mam komunikacji z serwerem.

Już jedną barierę przebrnąłem. Restart routera pomógł. teraz mogę pingować z PC serwer i odwrotnie. Ale na PC dalej nie mam dostępu do internetu. Po wpisaniu w przeglądarce bramy (tej na adresie publiczym) nic nie ładuje się. Czy nie powinna się otworzć strona startowa serwera z apache ?

Pingowałem również bramę z zewnątrz sieci. Pingi przechodzą do bramy, ale już na ping z zewnątrz sieci mój pc nie odpowiada.

Coś mi to nie wychodzi .... Ma toś pomysł na to rozwiązanie ?

PS
Równolegle jeszcze pracuje NAT bo w LAN dalej mam klientów z prywatnymi adresami, wyłaczenie NAT odetnie im dostęp do internetu.