jak na eth1

Peter Popovec popovec na zub.fei.tuke.sk
Pátek Srpen 25 15:16:31 CEST 2000 

In article <967199285.548271 na virtual.nextra.sk>,
	uhlar na fantomas.sk writes:
> Jaroslav Lukesh <lukesh na seznam.cz> wrote:
> 
> alebo zariad aby sa programy bindli len na specificky interface

Napr. squid pouzije jednu  z definovanych adries  podla konfiguraku 
tcp_outgoing_address xxx.xxx.xxx.xxx 
Jo ak mam adresu 1.1.1.1, 1.1.20.1 1.1.30.1 na svojom rutri (na nom bezi
squid) je jedno  ktoru z nich dosadim do tcp_outgoing_address (  vsetky IP
su predsa realne IP, pre eth0, eth1, eth2 .. ) nic sa nestrati. Povedzme
dosadim 1.1.20.1 .. teraz  squid ked posle nejaky paket, vzdy je  src adres
rovna 1.1.20.1 ( bez ohladu akym interfacom pojde von .. ) Toto  funguje .
problem je  vsak  postaveny inde.. ako toto riesit globalne pre vsetky
pakety generovane na tomto stroji. 

> ->  - anebo zkuste maskaradu
toto nie je riesenie, maskaradovat realne IP ?

> myslis ze to pomoze ? ja sa len obavam zeby potom niektore pakety prestali
> chodit vobec, pretoze budu chciet odist s IP ktora nie je pripustna...

Akoby nebola pripustna ? predsa mozem poslat von paket ktory ma src mojeho
pocitaca ( a hoci aj ineho :-)   a je predsa jedno ktorym interface ho
poslem, ak viem, ze stejne dojde k cielu, a ciel vie kadial mi to poslat
nazad (ma na mna rutu). 

Este realnejsi pripad ( mozno napadne niekoho riesenie tuna)

                  +-------+                        +--------+
siet 1.1.10.0/224 | ruter |192.168.0.1  192.168.0.2|firewall| inet
------------------+       +------------------------+        +---
Obsadene IP 3 az  |       |                        |        |1.1.10.1
30		  +-------+                        +--------+

Tato siet chodi uplne ok .. a aj inet s nou bude  spolupracovat uplne ok ak
sa pre oba interface firewalu nastavi vystupna adresa 1.1.10.1 a pre obe eth
na ruter sa nastavi 1.1.10.2 ako odchodzia adresa. Ruty na oboch strojoch uz
zabezpecia prehodenie paketov tak ako treba. Inet ma smerovanie Ok, nakolko
sa vonku z firewallu posielaju len realne IP a  nic  co by bolo z priv.
adres priestoru. Ako riesit takuto siet ?  (mam len 32 realnych IP .. )

		Vdaka.

Další informace o konferenci Linux