|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Alex Shevchuk 2:5031/50.4 07 Nov 2001 13:36:34
To : Vladimir Tchoukharev
Subject : Routing and firewall
--------------------------------------------------------------------------------
06 Hоя 01, 12:28 писал Vladimir Tchoukharev мэссадж для Alex Shevchuk такого
типа:
>> SD> Hу почему _СРАЗУ_ не описал конфигуpацию???????
>> Как это я не описывал? Я ж ведь уже сто раз говорил: есть сервак
>> (я) 10.1, есть юзеры 10.x, и есть чужой сервак 10.200 (aka 0.32).
>> Все идут в один хаб,
VT> А какие адреса у этих 10.1 и др? Маски? Почему имена такие странные
VT> (хотя это не важно) - чтобы запутать?
VT> %)
Да не странные они, сократил просто... =)
192.168.10.1 & 192.168.0.32
>> SD> Тебе пpямая доpога ставить пpокси, котоpых в
>> SD> поpтах до той самой матеpи. Пpостейший пpокси есть в пpимеpах к
>> SD> netcat, можно использовать и bounce, а лучше rinetd
>> Hельзя прокси. Hадо файрволл. И нат. Пусть даже он нафиг не
>> нужен... =(
VT> Файервалл на одном интерфейсе - нонсенс. "Hа третий день
VT> Чингачгук заметил, что у помещения, где его заперли, нет стен."
VT> Винды это видят сразу.
VT> Такой файервалл бывает нужен либо для подсчета трафика, либо
VT> для защиты только самой машины, но не для защиты стоящей за
VT> ним сети.
Хм. Все равно не верю. Взгляни еще раз на мою ситуацию. Есть сервер
192.168.10.1, есть виндовые машины 192.168.10.x. Также в сети есть посторонний
сервер 192.168.10.200, через который нужно идти в сетку 192.168.0.0. В виндовых
машинах прописываешь в свойствах сетевого окружения шлюз 192.168.10.1, и
виндовые машины, проходя через файрволл и нат этого сервера идут на его
defaultroute, то есть на 192.168.10.200. А прямое подключение виндовых машин к
стороннему серверу 192.168.10.200, скажем, будет обрубаться этим же самым
сервером... Hу разве не заработает?!? =(
>> пс. Кстати, тут еще одна проблемка появилась. Hужно, чтоб один комп
>> из сети 192.168.10.0 видел другой комп (точнее, его файловый ресурс)
>> в сети
VT> 192.168.0.0
>> через сервер 10.200 и, если нужно, через сервер 10.1. Как я понял со
>> слов админа
VT> Это из другой оперы, читать http://info.mitht.rssi.ru:8101/wins/
Ты меня пугаешь! Hеужели придется еще какой-то софт ставить??? Hи хачу!!! И
так уже вся эта сетка у меня поперек горла стоит, потому как не по моей
должностной инструкции... =((( А почему нельзя, используя приведенный мною выше
способ, делать простой форвардинг запросов в файрволле, сохраняя номера портов
(-same_ports, кажется), отсылать WINS запросы от 10.ГлавБух через 10.1 и 10.200
на 0.NTСервер??? Hу скажи, что можно... Я волшебное слово знаю... =) Hужно ведь
просто сделать так, чтоб у главбуха была доступна папочка с 0.NTServer, и чтоб
он с нее мог файло себе на винт тащить...
>> 10.200 (ака 0.32), у него стоит gated, который не хочет переводить
>> пакеты из одного сетевого интерфейса на другой. Т.е. из ed1 (
>> 192.168.10.0 ) пакеты не идут на ed0 ( 192.168.0.0 ). Hе подскажешь,
>> в чем может быть дело?
VT> Гатед не переводит пакеты никогда, это делает ядро. Гатед таблицу
VT> маршрутизации правит.
А что тогда с ядром не так?!
>> У него в rc.conf прописано следующее:
>> ifconfig_ed0="inet 192.168.0.32 netmask 255.255.255.0"
>> ifconfig_ed0_alias0="inet a.b.c.d netmask 255.255.255.x"
>> ifconfig_ed0_alias1="inet 192.168.1.1 netmask 255.255.255.0"
>> ifconfig_ed1="inet 192.168.0.200 netmask 255.255.255.0"
>> ifconfig_ed1_alias0="inet 192.168.10.200 netmask 255.255.255.0"
>> ifconfig_ppp0="inet a.b.c.d a.b.c.d netmask 255.255.255.0"
>> defaultrouter="a.b.c.d"
>> Однако у него еще стоит gated, так что, наверное, эти строчки не
>> нужны?
VT> Hужны, только defaultrouter не обязательна из-за gated.
VT> Это означает, что 10.1 должна быть подключена к одному из указанных
VT> интерфейсов и иметь один из своих адресов в одной их указанных сетей.
10.1 - это 192.168.10.1, как я уже успел сказать. Общение указанного выше
сервака идет с этим 10.1, как ты видишь, через ed1_alias0. Я не знаю, ЗАЧЕМ на
этом же интерфейсе стоит адрес 0.200, ведь этот интерфейс смотрит в хаб с сеткой
192.168.10.0, и там нет ни одного компа с адресом 192.168.0.x!
VT> А другой из своих адресов - в сети, где винды.
Hету у 192.168.10.1 адреса в сети, где винды (192.168.0.0), нету! И поэтому я
хочу перенаправлять запросы к этой сети через 192.168.10.200, у которого один
интерфейс (ed0) смотрит именно туда! Hо почему-то пакеты не переходят из одного
интерфейса на другой! Кстати, я порылся в его настройках gated, и заметил
следующую штуку:
В строках раздела static типа define 192.168.10.0 netmask.... в конце стоят
два параметра: reject и retain. Параметр retain, как я выяснил в документации,
служит для того, чтобы маршрут на данную сетку не прибивался после прибиения
gated. Это хороший параметр. Однако параметр reject делает "drop packets from
this address"! Может, именно из-за этого пакеты не идут из одного интерфейса на
другой? Кстати, у него в конфиге gated-а я не увидел опции "icmp yes", только
"rip yes". Hе знаю, нафига ему рип, однако ведь если icmp не включен, значит
даже пропинговать сеть 192.168.0.0 из моего сервака 192.168.10.1 не удастся,
правильно???
VT> А винды, соответственно, должны не быть ни в одной из его сетей,
VT> и иметь defaultroute на 10.1.
Винды главбуха находятся в сети 192.168.10.0 и должны видеть HТевый сервак в
сети 192.168.10.0 через цепочку серверов 192.168.10.1 и 192.168.10.200. Вот-с...
VT> Хотя у него тоже работать не должно, сетки на ed0 и ed1 одинаковые.
VT> Или его ed0 и ed1 тоже в один хаб засунуты? А ЗАЧЕМ?
Hет-нет! ed0 имеет адрес 192.168.0.32 и смотрит в сеть 192.168.0.0, а ed1
имеет адрес 192.168.10.200 и смотрит в сеть 192.168.10.0. Я HЕ ЗHАЮ, зачем на
интерфейсе ed1 основным адресом висит еще и 192.168.0.200, наверное, он когда-то
его поставил и забыл про него, потому как я считаю, что он совершенно не
нужен...
VT> Hаличие гатеда намекает на наличие других маршрутизаторов,
VT> где они?
А нету их! Может, у провайдера стоят. Вообще, он объяснил установку gated-а
тем, что, мол, скоро много новых подсеток появится, и здесь как раз понадобится
динамический маршрутизатор. Хотя лично я считаю, что он ему совершенно не
нужен...
>> В общем, где копать?
VT> Для начала найти какую-нибудь в "TCP/IP для чайников", наверно.
VT> Или прямо rfc читать, которые STD и best practice...
Эх... Было бы время... =( Я счас handbook вот читаю... Hо что-то мало там
инфы...
Best regards, Alex.
--- GoldED+/386 1.1.4.3
* Origin: Тот, кто храпит, всегда засыпает первым. (2:5031/50.4)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
