Preroutovani IP
Jan Houstek
jan.houstek na mff.cuni.cz
Neděle Leden 16 22:26:21 CET 2005
On Sat, 15 Jan 2005, Michal Rybárik wrote:
> ak tomu dobre rozumiem, myslite routovanie verejnych IP adries cez
> privatne. ovsam v traceroute sa potom zobrazia privatne IPcky, ktore na
> verejnom internete nemaju co robit, takze toto riesenie nie je uplne
> koser. alebo sa mylim?
Mylite. Pri beznem provozu router zadne IP pakety s vlastni adresou
negeneruje a kdyz na to prijde a posila nejaka ta ICMP (napr. pri
nedostupnosti dalsiho hopu nebo prijetim paketu s vycerpanym TTL), tak
neni az takovy problem ho presvedcit, aby odpovidal vzdy svoji verejnou
adresou. Dokonce tak, jak to bylo navrzeno, tj. ze verejna adresa je na
vnejsim rozhranni, se to dokonce bude popsany zpusobem chovat
out-of-the-box, kdyby si to chtel clovek pojistit, neni problem povesit
tam nejaky SNAT.
On Sat, 15 Jan 2005, Peter Surda wrote:
> To samozrejme ide. Ked to chces robit s bridgingom/broutingom, musis
> patchnut jadro (http://bridge-utils.sf.net alebo tak nejak)
Ve 2.6 to funguje i ve vanilla, 2.4 se musi patchnout
http://ebtables.sourceforge.net/
On Sat, 15 Jan 2005, Michal Rybárik wrote:
> vidim ze uz vas sprdli za offtopic, poradili niekolko advanced
> rieseni, ale to najzakladnejsie riesenie tu este nepadlo.
To nejjednodussi reseni vypada tak, ze se ten subnet rozdeli na dve pulky,
v jedne bude gateway a externi rozhranni routeru, ve druhe vnitrni
rozhrani a ostatni servery. Padne tim ovsem pulka tech verejnych adres.
S resenim popsanem v predchozim prispevku, pripadne s proxy-arp nebo
bridgem, neprijdete ani o jedinou. Tedy zalezi predevsim na tom, jak moc
jsou ty adresy pro vas vzacne zbozi.
-- Honza Houstek
Další informace o konferenci Linux