Routovani - jak nastavit ?

Miroslav BENES mbenes na tenez.cz
Pondělí Květen 3 11:10:48 CEST 1999 

Preji krasny den !

Az do dnesniho dne jsem si myslel, ze na nastaveni routovacich 
tabulek nic neni. Po dnesku vim, ze to neni trivialni. A proto prosim 
o pomoc.

Drivejsi stav :
==========

Firewall na linuxu adr. 192.168.128.254, vnitrni sit na eth1
192.168.128.0/24, DB server (UNIX) ma adresu 192.168.128.1, stanice 
192.168.128.x.

Problem : Uzivatele pretezuji pripojeni.
Pozadavek : Omezit rychlost (vybrane skupine uzvatelu).

Nynejsi stav :
==========

Je trochu prekombinovany, ale funkcni :

Firewall ma pro vnitrni sit 2 sitove karty eth1 a eth3. Adresy jsou 
192.168.128.0/24, resp. 192.168.129.0/24. Na zarizeni eth1 je omezena 
propustnost na 64 kb.

Problem : Pristup na DB server se musi pro nektere uzivatele (sit 
..129..) routovat pres firewall.
Pozadavek : Zajistit pro obe podsite primy pristup na adresu 
192.168.128.1.


Pokus o reseni :
=============

Nastavit DB serveru i stanicim v obou sitich masku 
192.168.128(129).0/23. 

Bohuzel castecne neuspesny. Po tomto nastaveni se da ze vsech stanic 
pristupovat na DB server, ale nikdo nekomunikuje s firewallem. Kdyz 
na firewallu rozsirim masku o 1 bit, bude vsechno funkcni, ale 
vsechna data (pro obe podsite) protecou pres omezovac.

Dotazy :
1) Musi mit router i stanice stejnou masku podsite ? Myslel jsem, ze 
se paket preda prijemci, pokud je podle moji masky ve stejne 
podsiti, resp. preda se routeru, pokud neni. A naopak router mi preda 
paket, pokud se prijemce podle jeho masky nachazi v dane podsiti. Ale 
jak je videt, chova se to jinak.

2) Jak se ma korektne nastavit omezeni rychlosti ? Bylo by vhodne 
neomezovat rychlost az na zarizeni eth1, ale drive - aby bylo mozne 
pristupovat plnou rychlosti na proxy cache (na stejnem stroji jako
fw). Podle prednasky v Prudke je mozne routovat i podle znacky v 
maskarade, ale jak se to pouziva ?

3) Jak se da nastavit dvoji adresa na jednom rozhrani ? Reseni pomoci 
dalsi karty neni idealni, ale funkcni. Nastavit dvoji adresovani 
jedne karty se nam ale nepovedlo. Jak se to da nastavit pomoci 
prikazu ip ?


Diky za odpovedi.


Prikladam zkraceny vypis konfigurace (pred rozsirovanim masky) :

ifconfig lo 127.0.0.1 netmask 255.0.0.0 broadcast 127.255.255.255 # #

ifconfig eth0 $ADDR netmask $MASK broadcast $BROADCAST

ifconfig eth1 192.168.128.254 netmask 255.255.255.0 
broadcast 192.168.128.255

ifconfig eth2 192.168.127.254 netmask 255.255.255.0 
broadcast 192.168.127.255

ifconfig eth3 192.168.129.254 netmask 255.255.255.0 broadcast 
192.168.129.255

tc qdisc add dev eth1 root tbf rate 64Kbit burst 4K limit 10k

ipchains -A forward -s 192.168.128.0/24 -j MASQ
ipchains -A forward -s 192.168.129.0/24 -j MASQ

ipchains -A input -s 192.168.128.0/24 -j ACCEPT
ipchains -A input -s 192.168.129.0/24 -j ACCEPT

--------------------------
Miroslav BENES
E-mail   : mbenes na tenez.cz
TENEZ Chotebor, a.s
--------------------------

Další informace o konferenci Linux