Routovani v siti

[Vasek Stodulka]

On Thu, 6 Apr 2006 08:29:04 GMT, Oqak <node.ch na centrum.cz> wrote:

>  Mejme Router1 pripojujici sit LAN do Internetu (Firewall apod.)
> 
>  Do site LAN je pripojen dalsi router a na ten je potreba pripojit dalsi 
>  LAN2. Ted jde o to, jak zajistit, aby se z LAN2 nikdo nedostal za zadnych 
>  okolnosti do LAN 1, ale jen do Internetu.
> 
>  Staci nastavit jen routy nebo jeste neco jineho?

	Teoreticky bude spojení LAN2 - LAN1 fungovat. Počítače v LAN1
nebudou sice vědět, že LAN2 se skrývá za routerem 2, ale pošlou pakety na
svou default GW (router1), který jim sice vynadá redirectem, ale pakety
(tuším) přepošle na router2, který je správně doručí. Optimální řešení je
tudíž 

pro router 1:

# Tady se omlouvám za nepoužití příkazu ip :)
route add -net LAN2 gw router2
iptables -I FORWARD -s LAN1 -d LAN2 -j REJECT

pro router 2:

iptables -I FORWARD -s LAN2 -d LAN1 -j REJECT
# ...a pro jistotu ještě:
iptables -I FORWARD -s LAN1 -d LAN2 -j REJECT
# (lidi jsou hrozně vynalézaví :)
# ...a eventuelně pro správu routeru1 z LAN2 ještě
iptables -I FORWARD -s LAN2 -d router1 -j ACCEPT
iptables -I FORWARD -s router1 -d LAN2 -j ACCEPT
# (Jsou potřeba obě pravidla? Není lepší state ESTABILISHED?)

-- 
Vašek Stodůlka
tel.: +420 608 200 860