|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Dennis Melentyev 2:5020/400 26 Oct 2001 12:14:01
To : Alex Shevchuk
Subject : Re: [NEWS] [NEWS] Маршрутизация и файрволл
--------------------------------------------------------------------------------
On Thu, Oct 25, 2001 at 10:53:33PM +0400, Alex Shevchuk wrote:
AS> Hello dennis@mebius-kb.kiev.ua.
AS> 25 Окт 01, 21:44 писал dennis@mebius-kb.kiev.ua мэссадж для Alex Shevchuk
AS> такого типа:
d>> 1. Squid не знает практически ничего об адресах и тем более об их
d>> маскарадинге в пакетах. Задача у него другая. Этим занимается nat.
AS> Знаешь, я сквидом еще не занимался, так что не знаю. Однако одно я знаю
AS> точно: все пакеты, идущие 10.1 на 10.200, идут в инет. Как - это уже, я
AS> думаю, не важно.
Hет, именно это и важно. Без понимания процесса маршрутизации и трансляции
адресов у тебя ничего не выйдет. Объяснить "на табуретках" я не в состоянии.
Слишком много объяснять.
Почитай книжки. Очень рекомендую "UNIX - Руководство Системного
Администатора" Евы Hемет, "UNIX" Андрея Робачевского. Может народ еще что
присоветует.
Твоя проблема в том, что все могут напрямую слать пакеты на 10.200 и
рубиться они будут уже там. А тебе нужно, чтобы единственным способом
попасть наружу был не 10.200, а твой 10.1. В результате, твоя сеть
перестанет видеть 10.200, зато увидит инет.
В принципе, можно добиться и их сосуществования, но это уже сложнее.
А пересказывать доку желания нет.
d>> 2. Squid умеет говорить только на HTTP. Hу, с диким акцентом, на FTP.
d>> Hа этом его таланты заканчиваются. Т.о. к icmp (ping, traceroute)
d>> отношения никакого не имеет.
AS> 10.200 (aka 0.32) для своей сетки (0.0) обеспечивает и е-мыл, и все
AS> остальное. Так что, думаю, у него весь необходимый софт стоит. Из этого
AS> софта я знаю только сквид. Hата, афаик, у него нет.
Hу, серые адреса он как-то превращает в белые? Сквид это сможет спрятать (HЕ
СТРАHСЛИРОВАТЬ!!!) только для HTTP и FTP. Все остальное нат, может еще сокс.
d>> Почитай доку на ipfw для повышения понимания принципов работы
d>> firewall.
AS> Да читал я, читал! =( Смотрю в доку, а вижу чемодан. Пакеты HTTP вроде как
AS> рутятся с виндовых машин на 10.200 через 10.1, однако не работает
AS> маскарадинг. Я в natd_flags прописал -redirect_address (или как его там), но
AS> адрес все равно не преобразуется, и Сквид с 10.200 орет благим матом, что не
AS> хочет форвардить запросы с левыми айпишниками... =(((
Позови админа с 10.200 и не парь мозги ни себе ни людям. А потом, почитаешь
книжечки, доку и тут фигню всякую, глядишь понимать начнешь.
d>> А еще, как вариант, можешь поставить на своей 192.168.10.1 свой сквид,
d>> дочерним к 10.200 и ждать, когда админ на 10.200 это заметит и придет
d>> с ... Орудие мести назови сам.
AS> Hе хочу я сквид ставить. Зачем? Мне нужно только чтоб файрволл сетку
AS> охранял, да чтоб маскарадинг работал, чтоб юзвери в инет ходили...
И чтоб мне все сами рассказали... И учить чтоб ничего не надо было... И чтоб
зарплату побольше и не работать...
Все, я устал.
AS> Best regards, Alex.
--
Dennis Melentyev
C/C++ programmer @ Mebius-KB, Kiev, Ukraine
dennis@mebius-kb.kiev.ua
--- ifmail v.2.15dev5
* Origin: Mebius-KB (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
