dalsi zahada (Was Re: ponekud specialni routovani)
Jaroslav Stribrsky
Jaroslav.Stribrsky na vscht.cz
Středa Listopad 29 21:10:36 CET 2000
Pavel Urban wrote:
>
> ufffffffffff... tak ted uz teda opravdu nechapu. rezignuji na nejake
> modifikace ipcek, na tohle uz nemam silu. ted jsem zkusil na fw2 'ping
> -c 1 195.150.137.129', coz je adresa routeru, pres ktery jede fw1.
> neproslo to. to me neprekvapilo. pridal jsem tedy 'route add -host
> 195.250.137.129 eth0', aby to nelozilo na fw1. zkusil jsem opet ping,
> nic. co me ovsem dostalo je vypis z tcpdumpu na fw2:
>
> 17:15:54.350000 195.250.137.217 > 195.250.137.129: icmp: echo request
> (ttl 64, id 3623)
> 17:15:54.370000 195.250.137.129 > 195.250.137.217: icmp: echo reply (ttl
> 255, id 59098)
>
> odpoved na ten ping se mi evidentne vratila, ale ten program nic
> nevypsal!
Zkousel jste ping -n ? Ping v RH6.2 je spatnej, myslim, ze tu chybu
neopravil Kuznetsov ani v nejnovejsich iputils
> kdyz zkusim ping zvenku (konkretne z 212.71.155.243, coz je pocitac na
> druhem konci mesta, na uplne jine siti atd), v tcpdumpu se objevi icmp
> 'echo request', ale uz zadny 'echo reply'... uz absolutne nechapu, co se
> s timhle jeste da delat???
>
> v predchozich mailech jsem popisoval strukturu one site mozna trochu
> mlhave, zkusim tedy neco malo ascii artu:
>
> router u providera (195.250.137.129)
> |
> breeze sa-10(d)
> |
> |
> --------------hub------------------
> | | |
> fw1 (195.250.137.144) fw2(195.250.137.217) pc (212.27.220.5)
> | |
> 192.168.10.0/24 195.250.137.216/29
Neni zakopanej pes v tom, ze mate podivny adresovani pro to fw2 ? Jak
muze mit pocitac na vnejsi sitovce adresu z rozsahu vnitrni site (teda,
pokud to nedela bridge nebo tak neco) ?
Druha vec, ktera mi prijde divna - aby si rozumne ty pocitace mezi sebou
mohly popovidat (aby jeden mohl slouzit jako brana druhemu), musej mit
spolecnou jednu sit ne ? Ja bych dal fw1 alias na vnejsi rozhrani s
adresou 195.250.137.218 a pak default routa na fw2 by byla na tuhle
adresu - ale pak uz nebudete moct pouzit sit 195.250.137.216/29 za
druhym firewallem. Druha moznost (pro usetreni IP adres, predpokladam,
ze celou tu 195.250.137.216/29 asi na neco potrebujete) je udelat alias
na (napr.) 10.0.0.1 na fw1 a dat fw2 jako vnejsi IP adresu 10.0.0.2 a z
fw1 routovat celou sit 195.250.137.216/29 na 10.0.0.2. Opacne, default
gw na fw2(s "vnejsim" IP ckem 10.0.0.2) by byla 10.0.0.1. Samozrejme to
v tuhle chvili bude branit jakemukoliv provozu pochazejicimu primo z
firewallu, ale to by se melo dat obejit pres utilitku ip a nastaveni NAT
pro tuhle adresu.
Proc radeji providera neuhranete o jeste jednu adresu pro ten druhy
firewall ? Dost podstatne by se vse zjednodusilo ....
Upraveny ASCII chart
|
--------------hub------------------
| | |
fw1 (195.250.137.144) fw2(10.0.0.2) pc (212.27.220.5)
(alias 10.0.0.1)
| |
192.168.10.0/24 195.250.137.217
195.250.137.216/29
Kdyz se tak na to koukam, asi by to slo udelaj jednodusejc primo pres ip
utilitku od Kuznetsova, ale teprve si s ni zacinam hrat ...
Jarda
--
******************************************************
Ing. Jaroslav Stribrsky
Vysoka skola chemicko-technologicka
Ustav pocitacove a ridici techniky
Technicka 1905, 166 28 Praha 6, CZ
E-mail: Jaroslav.Stribrsky(at)vscht.cz
WWW: http://staff.vscht.cz/~stribrsj
Tel: +420-2-24352970
Az mi bude tak sto deset, prijde Buh a zmackne RESET !
******************************************************
Další informace o konferenci Linux