Preroutovani IP
Jan Houstek
jan.houstek na mff.cuni.cz
Sobota Leden 15 00:55:34 CET 2005
On Sat, 15 Jan 2005, Daniel Ruchar wrote:
> Dobry den, resim nasledujici problem. Mam od sveho providera pridelenych
> 32(netmask 255.255.255.224) ip adres v rozsahu (prikladova serie)
> 82.120.20.64 - 82.120.20.95 - gw je .94, prvni pouzitelna je 65,
> posledni 93. 64 a 95 jsou broadcast.
95 je broadcast, 64 je adresa site.
> [...] Priklad jak bych to chtel mit je:
>
> napr:
> 82.120.20.65 - ip adresa koncici primo na routeru
> 82.120.20.70, 82.120.20.71 ip adresy pouzitelne na prvnim serveru
> 82.120.20.80, 82.120.20.81 ip adresy pouzitelne na druhym serveru
> 82.120.20.90, 82.120.20.91 ip adresy pouzitelne na tretim serveru
>
> pri traceroute bych rad videl kdyz routuju z venku na 82.120.20.70 aby
> tam byl videt stroj pres ktery to routuje, zaroven zase kdyz pujdu ven z
> toho 82.120.20.70 stroje tak abych videl ted predstroj , tzn aby bylo
> neco pred gatewayi moji pridelene site/za gatewayi moji pridelene site.
> v podstate aby se ten server s tema vice sitovkama choval jako
> plnohodnotny router.
A co resite za slozitosti? Bud udelejte normalni router, tj. nejak si to
vhodne rozsekejte na subnety a preroutujte to. Je-li vam lito promrhanych
verejnych IP adres, muzete routovaci tabulky nastavit explicitne, tj.
vasemu routeru dat jen jednu verejnou adresu na vnejsi rozhranni, na ty
vnitrni nahazet nejake privatni IP a na pripojenych pocitacich nastavit
pozadovane adresy s maskou /32 a pridat primou routu na privatni adresu
prislusneho interface routeru. Stejne tak na routeru vyjmenovat explicitne
routy na jednotlive IP pres spravne interfaces.
Druha moznost je proxy-arp nebo bridge.
> Jako perlicku bych uvital, kdybych (typuju ze se to bude pres iptables
> resit)
Ne, iptables delaji akorat tak NAT, ktery nechcete.
> mohl pomoci iptables na tom hlavnim serveru omezovat IP a porty, tzn
> udelat si firewall ze treba na 1 stroj pujde jen 25 na druhy 110,143 a
> na 3 treba jen 3306, 80 ...
Ve vsech pripadech (router, proxy-arp, bridge) je pruchozi traffic hnan
pres iptables (u toho druheho je potreba bud 2.6 kernel nebo patch pro
2.4, viz archiv). Takze si muzete filtrovat a znackovat dosytosti.
> Najde se tu nekdo kdo by mi s timto nejak pomohl / nasmeroval me ?
Kdyby ten dotaz aspon trochu souvisel s Linuxem ...
-- Honza Houstek
Další informace o konferenci Linux