|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Mikhail Yuriev 2:5027/16.9 21 Oct 2004 23:56:06
To : alexander lunyov
Subject : помогите разобраться в PPPoE (продолжение:)
--------------------------------------------------------------------------------
18 Oct 04 00:17, you wrote to Victor Sudakov:
>>>> Hе могу понять принцип ограничения доступа с использованием PPPoE.
>>>> По какому признаку роутер начинает пропускать пакеты от
>>>> авторизованного клиента? Выдался клиенту IP, но правила файрвола
>>>> ведь не меняются?
>>> Есть у тебя сетка 192.168.1.0/24, рутер у тебя 192.168.1.1, машины
>>> подключаются по PPPoE. При соединении проверяется пароль. Если всё
>>> четко, то ppp устанавливает соединение и выдает IP адреса из сети,
>>> например, 10.0.30.0/24, а у своего конца соединения ставит адрес
>>> 10.0.30.1, например.
>> Я тебе больше скажу, в случае PPPoE наличие IP адресов на несущей
>> сети вообще необязательно. По крайней мере для функционирования
>> PPPoE они не нужны совершенно.
вопрос - правильно ли я понял ситуацию. имеем сервер, у него два интерфейса -
rl0 внешний, и xl0 внутренний:
1. когда авторизируемся по pppoe, клиент посылает запросы на xl0
2. как только авторизация прошла успешно - создается виртуальный интерфейс tun*
(tun0, tun1, etc), далее все "общение" пойдет по через этот интерфейс.
3. IP адреса здесь (в авторизации и работе pppoe) вообще в принципе не нужны.
но, поскольку компьютер у нас используется в интернете - нужно ему все-таки
выдать новый ip ("старый" - использовался для запросов на xl0).
4. с точки зрения системы передача данных теперь для клиентов идет между tun* и
rl0.
теперь возник вопрос - как закрыть доступ всем, кто не авторизовался (т.е. не
пускать в интернет никого без PPPoE).
пускай для локальной сети используется - 192.168.1.0/24 - для локалки
192.168.2.0/24 - для PPPoE.
если я правильно написал выше - то получается, что необходимо и достаточно
1. закрыть доступ из сети 192.168.1.0/24 в интернет вообще (а как?)
"ipfw add deny all from 192.168.1.0/24 to any via rl0" - работать не будет, ведь
пакетики на rl0 уже обработаны NAT и имеют не те IP.
-- все остальные IP из 10./8, 172.16/12 и надо тоже закрыть.
2. закрыть доступ из сети 192.168.2.0/24 на внутренний интерфейс xl0.
"ipfw add deny all from 192.168.2.0/24 to any via xl0"
т.е. если даже пользователь вручную поставит себе тот IP, который выдается ему
при сессии pppoe - он будет отвергнут сразу, т.к. не по тому интерфейсу
обратился.
Mikhail
--- GoldED+/W32 1.1.4.7
* Origin: (2:5027/16.9)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
