nefungujici routovani
Petr Sebor
petr na scssoft.com
Pondělí Červenec 30 12:50:14 CEST 2001
> A jak je nastavena ta "krabicka" od ISP? Podle mne tam je maska 255.255.255.128. A to je kamen
> urazu, protoze nevi, ze ma ty data posilat pres Vas FW. Rovnez veci z internetu sou na tom
> podobne.
> Pro toto nastaveni budete muset pozadat o spolupraci Vaseho ISP. Nevim co tam mate za
> "krabicku" (kdyztak popiste jak jste pripojen k ISP). S ISP se domluvte na neake adrese, jenz
> bude na Vasem FW, ktery bude delat vstupni GW. Mozna Vam da neakou dalsi Adresu na ten spoj
> mezi "krabickou" a FW.
Tohle je presne ten kamen urazu, ale tuto situaci lze resit i bez pomoci ISP.
Jen tak obecne az to bude nekdo hledat v archivu: Clovek si musi uvedomit, jak
se vlastne paket dostane z te 'krabicky' k nejakemu pocitaci v siti. Jak se vlastne
krabicka dozvi, na jakou fyzickou adresu se maji poslat ta data? Pouzije k tomu
protokol ARP, ktery se ale bez pomoci pres onen nastrceny firewall neprotlaci.
Ona pomocna berlicka ktera se da pouzit se jmenuje proxy_arp. Funguje to tak,
ze firewall odpovi na ARP dotaz (a tudiz predstira, ze je ona cilova stanice) a
o dalsi rozeslani dat uz se potom postara sam. (Tudiz i firewall musi mit rozum
z toho, pres ktery interface dale tlacit data)
V popisovanem pripade se na firewallu musi provest toto:
echo "1" > /proc/sys/net/ipv4/conf/eth0/proxy_arp
pomoci route nastavit smerovani pro zbytek site pres jeden
interface a pridat jednu staticky route pro 'krabicku' pres druhy
interface.
Petr
Další informace o konferenci Linux