Routovani verejnych IP adres do vnitrni site
Michal Kara
lemming na atrey.karlin.mff.cuni.cz
Středa Květen 14 12:17:31 CEST 2003
> > > route add -net <sit> netmask <maska> dev eth1
> > Protoze by pak nektere stanice mely verejne IP a jine privatni a byl by v
> > tom maglajs.
>
> Maglajs? Proc?
>
> Jeste bych tak nejak dokazal pochopit, ze by nekomu mohlo byt proti srsti,
> ze se oteviraji zvednku spojeni na sroje, ktere jsou fyzicky ve vnitrni
> siti ... ale pokud budou vnitrni stanice zabezpecene stejne dobre, jako
> onen 'vstupni' router, pak se o zadne zvyseni nebezpeci nejedna.
Sit bude mit dvoji cislovani, coz muze zpusobovat problemy a prehlednuti
(nedodelky) pri konfiguraci.
> > Bud muzete dat tem stanicim dve IP na jejich rozhrani, nebo pouzit DNAT -
> > preklad adres.
>
> ... a privodte si problemy, ktere s DNATem souvisi a 'verejnost' IP adres
> mohou v nekterych pripadech degradovat (connection tracking pro uchylne
> protokoly, atd.).
Stejne tam jsou i neverejne stanice, takze ty problemy (pro pouziti jako
klienta) budou stejne. Zalezi na tom, na co to budou vyuzivat (na co
potrebuji ty verejne IP).
Provozuji sit s cca 200 pocitaci za maskaradou z nichz par ma verejna IP
pridelovana DNATem a zatim jsem narazil jen na jeden problem - pokud nekdo
z lokalni site pristupuje na verejne IP, musi packet docestovat az k
firewallu a zase zpet. A jelikoz firewall je za pomalejsi linkou, obcase je
tam zpozdeni. Nicmene vzhledem ke strukture site je to porad jednodussi, nez
pracne nastavovat routing.
Michal Kara
--
PING 111.111.111.111 (111.111.111.111): 56 data bytes
...
---- Waiting for outstanding packets ----
No outstanding packets received, just two ordinary.
Další informace o konferenci Linux