Firewall na jedne siti, priorita packetu
David Rohleder
davro na ics.muni.cz
Úterý Říjen 13 16:33:24 CEST 1998
dufkaf na alpha.inf.upol.cz (Frantisek Dufka) writes:
> Dobry den mam takovy problem:
>
> mam k dispozici jednu internetovsky platnou sit s Cckovou maskou.
> Potreboval bych na teto siti vsem strojum predradit firewall (Linux).
> Lze to nejakym zpusobem udelat bez vytvoreni podsiti ?
> Lze nejakym carovanim s maskami vytvorit dve podsite, jednu napr. pro 4
> stroje (router a firewall) a druhou pro >127 stroju ?
> Bohuzel router a firewall nemuze byt jeden stroj neb ten router je
> hardware co firewallovat neumi.
> Rad bych vsem strojum zachoval plnou konektivitu a nejradeji je
> neprecislovaval, takze IP Masquerade asi neni ta zpravna cesta.
>
V podstate zalezi na routovacich pravidlech. Protoze se vybira podle
nejdelsi netmasky, tak je to moyne udelat tak, ze spojovaci sit bude 4
bodova s netmask 255.255.255.252 a zbytek bude cela C sit.
Pak musi byt na strane ISP dve routy, jedna na spojovaci sit primo na
interface a ta cela sit je smerovana na firewall.
Jediny problem je v tom, ze se bud stanice uvnitr nedostanou na
spojovaci sit, nebo budou muset mit specialni cestu pro tuto
spojovacku.
> Dalsi problem je nasledujici. Na one siti jsou si veskere stroje rovny,
> ale nektere jsou si rovnejsi. Tzn je treba aby nektere stroje mohly naplno
> vyuzit omezenou kapacitu pevne linky (budu jim rikat zakaznici) a jine je
> nemohly omezovat (zamestnanci). Toto lze asi
> castecne resit pomoci tzv. TOS bitu (ipchains i ipfwadm to umi) ale
> pravdepodobne pouze pro pakety jdouci ven. Horsi je, ze je treba
> omezit hlavne data jdouci dovnitr - tzn. zamestnanec zurive pouzivajici
> www a ftp nesmi zahltit pevnou linku. Jaka je platnost onech TOS bitu ?
> Jsou nastaveny po celou cestu paketu k cili, nebo je dalsi router v ceste
> zmeni ? Jak je to pro pakety jdouci zpet ?
>
> Zkratka, lze s jednou pevnou linkou zajistit zakaznikum dobrou pruchodnost
> a soucastne umoznit zamestnancum pristup na internet ?
Obavam se, ze v tomto ohledu mate smulu. Bity TOS nijak zvlast
neurcuji prioritu paketu. Mozna by Vam pomohlo jadro 2.1 s nekterymi
jinymi routovacimi (prioritnimi) algoritmy: CBQ apod. Pokud to funguje
(coz nevim, protoze jsem to nezkousel), tak je to co chcete.
>
> Dekuji velmi za pomoc s prvnim nebo druhym problemem.
> Posilejte prosim odpovedi take primo na dufkaf na alpha.upol.cz, nejsem v
> konferenci prihlasen.
>
>
> Frantisek Dufka
-------------------------------------------------------------------------
David Rohleder davro na ics.muni.cz
Institute of Computer Science, Masaryk University
Brno, Czech Republic
-------------------------------------------------------------------------
Další informace o konferenci Linux