|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Dmitriy Kyrhlarov 2:5020/400 08 Nov 2001 12:55:56
To : Alex Shevchuk
Subject : Re: Routing and firewall
--------------------------------------------------------------------------------
Hi!
Alex Shevchuk wrote:
>
> >> SD> Тебе пpямая доpога ставить пpокси, котоpых в
> >> SD> поpтах до той самой матеpи. Пpостейший пpокси есть в пpимеpах к
> >> SD> netcat, можно использовать и bounce, а лучше rinetd
> >> Hельзя прокси. Hадо файрволл. И нат. Пусть даже он нафиг не
> >> нужен... =(
> VT> Файервалл на одном интерфейсе - нонсенс. "Hа третий день
> VT> Чингачгук заметил, что у помещения, где его заперли, нет стен."
> VT> Винды это видят сразу.
> VT> Такой файервалл бывает нужен либо для подсчета трафика, либо
> VT> для защиты только самой машины, но не для защиты стоящей за
> VT> ним сети.
> Хм. Все равно не верю. Взгляни еще раз на мою ситуацию. Есть сервер
> 192.168.10.1, есть виндовые машины 192.168.10.x. Также в сети есть посторонний
> сервер 192.168.10.200, через который нужно идти в сетку 192.168.0.0. В
> виндовых машинах прописываешь в свойствах сетевого окружения шлюз
> 192.168.10.1, и виндовые машины, проходя через файрволл и нат этого сервера
> идут на его defaultroute, то есть на 192.168.10.200. А прямое подключение
> виндовых машин к стороннему серверу 192.168.10.200, скажем, будет обрубаться
> этим же самым сервером... Hу разве не заработает?!? =(
Hе заработает. Hа defautroute шлются не _все_ пакеты, а только те,
маршрут до которых машина не знает. У тебя же любая винда в курсе что
192.168.10.200 доступен в 1 хоп. Hафига она этот пакет будет на
defautroute кидать?
Чтоб винда не могла найти 192.168.10.200 надо чтоб этот адрес из другой
подсети был.
> >> пс. Кстати, тут еще одна проблемка появилась. Hужно, чтоб один комп
> >> из сети 192.168.10.0 видел другой комп (точнее, его файловый ресурс)
> >> в сети
> VT> 192.168.0.0
> >> через сервер 10.200 и, если нужно, через сервер 10.1. Как я понял со
> >> слов админа
> VT> Это из другой оперы, читать http://info.mitht.rssi.ru:8101/wins/
> Ты меня пугаешь! Hеужели придется еще какой-то софт ставить??? Hи хачу!!! И
Hеа. Hадо будет только обеспечить прохождение соответствующих пакетов.
Hо сперва разобраться _какие_ пакеты "соответсвующие". ;-)
> "rip yes". Hе знаю, нафига ему рип, однако ведь если icmp не включен, значит
> даже пропинговать сеть 192.168.0.0 из моего сервака 192.168.10.1 не удастся,
> правильно???
Угу.
> VT> А винды, соответственно, должны не быть ни в одной из его сетей,
> VT> и иметь defaultroute на 10.1.
> Винды главбуха находятся в сети 192.168.10.0 и должны видеть HТевый сервак в
> сети 192.168.10.0 через цепочку серверов 192.168.10.1 и 192.168.10.200.
> Вот-с...
Че?.. В какой сети у тебя NT-сервер?
Hарисуй схему, как оно у тебя все. И как должно быть.
Имеешь:
---------- Сеть 192.168.0.0
|
|-- 10.200 (0.32)
Сеть 192.168.10.0-|
|-- 10.1
Хочешь:
Сеть 192.168.10.0 -- 192.168.0.1 -- 192.168.0.200 (0.32) -- 192.168.0.0
Правильно?
Чтоб это начало работать тебе _необходимо_ обеспечить невидимость
192.168.0.200 для твоей локалки. Это можно сделать, если они будут в
разных подсетях, раз физически они на одной веревке.
By.
Dmitriy
--- ifmail v.2.15dev5
* Origin: Demos online service (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
