Архив форумов ЦИТФорума

[albich]

Помогите советом
Пытаемся поднять router с firewallом.
На машине 2 сетевые карты, одна внешняя eth1( подключается к железному routerу и далее - в Internet), другая внутренняя eth2 (на нашу
локальную сеть). Причем в локальной сети тачки с реальными адресами. Так надо.
Нам выделили диапозон адресов x.x.x.x/29, т.е. 8 реальных адресов.
Как я понимаю, для того, чтобы выделить из этого диапозона адрес на внешний интерфейс eth1, прийдется делить нашу сетку на два диапазона, т.е.:
-на внешний интерфейс сеть x.x.x.x/30;
-на внутренний интерфейс сеть x.x.x.x/30
Иначе никак не получается. Ведь невозмо-жно, чтобы и один и другой сетевой интерфейсы были в одной сети?
Но меня тут кое-кто уверяет, что это вполне осуществимо, нужно только настроить форвардинг из одного интерфейса в другой. Тогда можно использовать всю нашу сетку, без изменений.
Кто знает:можно ли сделать так?

[and3008]

На одну физическую плату можно "повесить" несколько IP-адресов.

Вот комп, который одним концом (А) глядит в Инет, а другим (Б) в локалку.

На интерфейс (Б) вешаем 2 IP-адреса. Один из диапазона, отданного провайдером, а другой из локальной сети.

Есть другой вариант, но по сложнее и годится для тех, кто хорошо понимает, что такое маршрутизация и как ей можно ловко жонглировать. Рассказывать?

[albich]

Буду рад любой информации.
Только вот дело в том,что вешать на интер-
фейс Б адрес из локальной сети - не проблема.
Проблема - дать ему адрес из того же диапа-
зона, что и на интерфейсе А (если это возмож-
но). Чтобы не дробить итак небольшую сеть на
части

[butcher]

Не знаю как в RH, на на FreeBSD я бы сделал фильтрующий мост, на одном интефейсе задал бы адрес, на другом нет. И сеть делить не нужно и файрвол работает..
_________________
Нет ничего невозможного...

[albich]

Можешь чуть поподробнее?

[butcher]

посмотри http://www.freebsd.bip.ru/most.shtml
и немного подробнее:
http://www.securityportal.ru/network/FilterBridg e.html
_________________
Нет ничего невозможного...

[Dmitry.Karpov http://prof]

1-й вариант: мухлевать с ARP - пусть роутер думает, что на все IP-номера (их не восемь, а всего пять) отвечает MAC-адрес внешней карты, а внутренним можно прописать шлюзом внутреннюю карту. Если использовать разные маски (наружу /32 и 'route add host ...', внутрь 29), то можно на оба интерфейса вешать один IP-номер.

2-й вариант: прописать роутинг на железном роутере (маска /32, 'route add host ...' для твоей машины, 'route add net ...' с маской /29 для остальных).

3-й вариант: настроить фильтрацию на железном роутере. Очень рекомендую.

2-й вариант: Скомпилять ядро с опцией BRIDGE; фильтрация при этом будет работать.

[albich]

вариант2: железный роутер у нас дешевый, но
дубовый - ZyXEL Prestige153X. Нет возможности
прописывать роутинг командами. В меню жестко вписываешь Ethernet-адрес и маску

вариант3: причина та же,что и в п.2

вариант4: выше уже была ссылка на страничку
http://www.freebsd.bip.ru/most.shtml
Там маловато инф-и, да и вообще про FreeBSD,
я в ней слабо ориентируюсь. Где, например, на
Linuxe файл sysctl.conf?

вариант1 кажется интересным. Только не догоняю - роутинг делаем для всех внутренних
адресов через внутренний шлюз?
И еще: я вот смотрел логи простейшего варианта firewalla(на всех цепочках ACCEPT)-
пакеты могут приниматься по интерфейсу eth1,
но всегда отсылаются с интерфейса eth0 ( или
их пытается отослать какой-то алгоритм).Т.е.
eth1 вроде не работает, еcли оба с одним IP
Я чего-то не понимаю?

[and3008]

-

[albich]

Какое мыло ?

[Dmitry.Karpov http://prof]

Итак, на железном роутере задан IP-номер типа X.Y.Z.1/29. На нашем роутере запускаем chop-arp или его аналог, указав ему "слушать интерфейс Eth1 и на ARP-запросы по поводу адресов X.Y.Z.[2..6] отвечать MAC-адресом интерфейса Eth1.
На интерфейсе Eth1 помещаем IP-номер X.Y.Z.2/30, шлюз=X.Y.Z.1. На интерфейсе Eth2 помещаем IP-номер X.Y.Z.2/29. На остальных машинах можно использовать IP-номера X.Y.Z.[4..6]/29 (не густо), шлюз=X.Y.Z.2; с этих машин IP-номер железного роутера X.Y.Z.1 будет недоступен.

Есть и немного более другие схемы.