| View previous topic :: View next topic |
| Author |
Message |
_Adik_
Apprentice
Joined: 09 Jan 2004
Posts: 205
Location: Katowice, Poland
|
 Posted: Sun Feb 29, 2004 8:30 am Post subject: RoUtInG w szkole ;) |
 |
|
Witam, postawilem serverek na gentoo w szkole, wszystkie uslugi
juz ladnie dzialaja ale pozostala jeszcze jedna ( ktorej wczesniej nie
bylo w planach ). Serwer ten ma rowniez pelnic funkcje routera i firewalla.
O ile z firewallem sobie poradze ( kmyfirewall  ) to z routingiem juz gorzej...
Systuacja jest taka:
Komp ma dwie sieciowki, jedna z adresem 213.186.86.1 druga z 213.186.86.255, obie juz dzialaja - dostaje numerek z dhcp. Chodzi mi teraz o to zeby to tak skonfigurowac, aby ten komputer byl brama dla innych komputerkow za nim ( tamte rowniez maja ip z klasy 213.186.86.xxx ). Co trzeba wkompilowac w jajko i co konkretniej trzeba zrobic nie mam pojecia, nigdy nie bawilem sie routingiem! Dla ulatwienia narysuje jeszzce schemacik 
|ISP|<--->|Modem|<--->|eth0:213.186.86.1,eth1:213.186.86.255|<--->|LAN|
prosze o pomoc! |
|
| Back to top |
|
 |
ezman
n00b
Joined: 22 Jan 2004
Posts: 9
Location: NorthWestern U.S.
|
| Posted: Sun Feb 29, 2004 5:45 pm Post subject: |
|
|
Nie znam Kmyfirewall ale czytalem ze to jest firewall ktura wspulpracuje z KDE. Ja uzywam firewall coyote od www.coyotelinux.com bardzo dobra w mojej opini.
Jak chcesz sie nauczyc o routing z iptables, ja bym wskazal www.netfilter.org.
Mysle ze to ci pomoze cos 
_________________
Happy Gentoo Convert |
|
| Back to top |
|
|
misterLu
Guru
Joined: 14 Sep 2003
Posts: 430
Location: Poland
|
| Posted: Sun Feb 29, 2004 10:51 pm Post subject: |
|
|
ja mam na serwerze maskarade zwykłą i działa wszystko bez problemu.
W kernel (z myślą o przyszłości ) wkompilowałem
| Code: | CONFIG_IP_NF_CONNTRACK=y
CONFIG_IP_NF_FTP=y
CONFIG_IP_NF_IRC=y
# CONFIG_IP_NF_QUEUE is not set
CONFIG_IP_NF_IPTABLES=y
CONFIG_IP_NF_MATCH_LIMIT=m
CONFIG_IP_NF_MATCH_MAC=m
CONFIG_IP_NF_MATCH_PKTTYPE=m
CONFIG_IP_NF_MATCH_MARK=m
CONFIG_IP_NF_MATCH_MULTIPORT=m
CONFIG_IP_NF_MATCH_TOS=m
CONFIG_IP_NF_MATCH_ECN=m
CONFIG_IP_NF_MATCH_DSCP=m
CONFIG_IP_NF_MATCH_AH_ESP=m
CONFIG_IP_NF_MATCH_LENGTH=m
CONFIG_IP_NF_MATCH_TTL=m
CONFIG_IP_NF_MATCH_TCPMSS=m
CONFIG_IP_NF_MATCH_HELPER=m
CONFIG_IP_NF_MATCH_STATE=m
CONFIG_IP_NF_MATCH_CONNTRACK=m
# CONFIG_IP_NF_MATCH_UNCLEAN is not set
# CONFIG_IP_NF_MATCH_OWNER is not set
CONFIG_IP_NF_FILTER=m
CONFIG_IP_NF_TARGET_REJECT=m
CONFIG_IP_NF_TARGET_MASQUERADE=m
CONFIG_IP_NF_TARGET_REDIRECT=m
CONFIG_IP_NF_NAT_LOCAL=y
# CONFIG_IP_NF_NAT_SNMP_BASIC is not set
CONFIG_IP_NF_NAT_IRC=y
CONFIG_IP_NF_NAT_FTP=y
CONFIG_IP_NF_MANGLE=m
CONFIG_IP_NF_TARGET_TOS=m
CONFIG_IP_NF_TARGET_ECN=m
CONFIG_IP_NF_TARGET_DSCP=m
CONFIG_IP_NF_TARGET_MARK=m
CONFIG_IP_NF_TARGET_LOG=m
CONFIG_IP_NF_TARGET_ULOG=m
CONFIG_IP_NF_TARGET_TCPMSS=m
|
większości nie używam, ale jak chcesz stawiać firewalla, to przydadzą Ci sie te moduły.
Najważniejsza jest linijka:
CONFIG_IP_NF_TARGET_MASQUERADE=m
Po takim skompilowaniu kernela trzeba jeszcze wykonać dwa polecenia:
| Code: | echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
|
(przy założeniu że ppp0 to twoje wyjście na ISP)i gotowe. Ja mam te polecenia wpisane w /etc/conf.d/local.start
a co ro reszty kompów to trzeba wykonać tam nastęepujące polecenia:
route add default gw IP_BRAMY
Nie wiem czy o to ci chodzilo, mam nadzieje że choć troche to pomocne . |
|
| Back to top |
|
|
meteo
Tux's lil' helper
Joined: 10 Feb 2003
Posts: 136
Location: Warsaw, Poland
|
| Posted: Mon Mar 01, 2004 8:57 am Post subject: Re: RoUtInG w szkole ;) |
|
|
| _Adik_ wrote: |
Systuacja jest taka:
Komp ma dwie sieciowki, jedna z adresem 213.186.86.1 druga z 213.186.86.255 |
 a to tak mozna? myslalem, ze zgodnie z zasadami sztuki ##.##.##.255 jest zarezerwowane na broadcast?
_________________
.m |
|
| Back to top |
|
|
misterLu
Guru
Joined: 14 Sep 2003
Posts: 430
Location: Poland
|
| Posted: Mon Mar 01, 2004 12:18 pm Post subject: |
|
|
pewnie , że nie można!
Podobnie zero. Ma prawo wystąpić tylko w tablicy routingu (i oznacza wszystkie kompy danej sieci) |
|
| Back to top |
|
|
meteo
Tux's lil' helper
Joined: 10 Feb 2003
Posts: 136
Location: Warsaw, Poland
|
| Posted: Mon Mar 01, 2004 1:55 pm Post subject: Re: RoUtInG w szkole ;) |
|
|
| _Adik_ wrote: | Systuacja jest taka:
Komp ma dwie sieciowki, jedna z adresem 213.186.86.1 druga z 213.186.86.255, obie juz dzialaja - dostaje numerek z dhcp. |
tak mi jeszcze do głowy przychodzi... zgodnie ze sztuką starożytnych gumisiów jeśli na eth1 masz LAN, to tam powienien być adres z grupy lanowych, np. 192.168.##.## albo 10.##.##.## i tak powinieneś skonfigurować dhcpa (komputery w lanie też najlepiej jeśli dostawać będą adresy z tej samej podsieci)
_________________
.m |
|
| Back to top |
|
|
misterLu
Guru
Joined: 14 Sep 2003
Posts: 430
Location: Poland
|
| Posted: Mon Mar 01, 2004 2:03 pm Post subject: |
|
|
to ja sie juz pogubiłem 
Z tego , co napisał _Adik_, najwyraźniej błędnie wywnioskowałem , ze ma dwa niezależne wyjscia na świat, a o wew interfejsie nic nie pisał!
CZyli jak jest | _Adik_ wrote: | | Komp ma dwie sieciowki, jedna z adresem 213.186.86.1 druga z 213.186.86.255, obie juz dzialaja - dostaje numerek z dhcp. |
Pierwsza to wyjście na świat, druga nie ma (teoretycznie) prawa posiadać takiego numeru. To jest jej bcast, więc jak jest skonfigurowana ta druga ?
I kto dostaje numerek z dhcp ? Brama czy kompy w LANie? |
|
| Back to top |
|
|
Raku
Bodhisattva
Joined: 28 Feb 2004
Posts: 2374
Location: Poland
|
| Posted: Tue Mar 02, 2004 12:51 am Post subject: |
|
|
adres z koncowka 255 jest jak najbardziej poprawnym adresem !!!!
czym jest broadcast i adres sieci? to ostatni i pierwszy adres z danej podsieci
dla maski 255.255.255.0 i sieci 192.168.0.0 jest to wiec opowiednio 192.168.0.255 i 192.168.0.0
ale dla tej samej podsieci z maską 255.255.0.0 adresem sieci jest 192.168.0.0 a broadcastem 192.168.255.255, wiec adres 192.168.0.255 jest poprawnym adresem hosta (tak samo jak 192.168.1.255 itd)
_________________
raku
Powered by Archlinux |
|
| Back to top |
|
|
misterLu
Guru
Joined: 14 Sep 2003
Posts: 430
Location: Poland
|
| Posted: Tue Mar 02, 2004 1:23 am Post subject: |
|
|
| Quote: | | adres z koncowka 255 jest jak najbardziej poprawnym adresem !!!! |
będę się kłucił.
Podepre się "TCP/IP Administracja sieci" wydawnictwa O'reilly (to chyba wiarygodne źródło)
We wszystkich klasach adresów IP zarezerwowane są również numery hostów 0 i 255.
Zgadzam się, że można tak zaadresować hosty, ale tego się nie stosuje. Nawet przy obliczaniu objętości podsieci, zawsze się odejmuje '2', własnie ze względu na adresy ...0 i ...255. |
|
| Back to top |
|
|
meteo
Tux's lil' helper
Joined: 10 Feb 2003
Posts: 136
Location: Warsaw, Poland
|
| Posted: Tue Mar 02, 2004 5:33 am Post subject: |
|
|
| raku wrote: | dla maski 255.255.255.0 i sieci 192.168.0.0 jest to wiec opowiednio 192.168.0.255 i 192.168.0.0
ale dla tej samej podsieci z maską 255.255.0.0 adresem sieci jest 192.168.0.0 a broadcastem 192.168.255.255, wiec adres 192.168.0.255 jest poprawnym adresem hosta (tak samo jak 192.168.1.255 itd) |
prawdziwe czy nie, fakt faktem, że _Adik_ mówił o sieci 213.186.86.##, dla której ##.##.##.255 jest broadcastem...
wszystkim polecam RFC 1166 - Internet numbers i RFC 1918 - Address Allocation for Private Internets
_________________
.m |
|
| Back to top |
|
|
_Adik_
Apprentice
Joined: 09 Jan 2004
Posts: 205
Location: Katowice, Poland
|
| Posted: Tue Mar 02, 2004 6:51 am Post subject: |
|
|
ofkorz sie pomylilem ludzie
nie mialo byc .255 tylko .25
a tak wogole to zwykla maskarada nie wchodzi w gre
bo reszta kompow w sieci tez ma publiczne ip a gdybym interfejs dla LAN
ustawil na 192.168.xxx.xxx to te kompy bylyby odciete od neta.
Nie chce zmieniac infrastruktury sieci bo to by bylo za duzo roboty!
Z tego co sie zdazylem dowiedziec najlepszym wyjsciem w tej sytuacji jest
bridge ( bridge.sf.net ) pomiedzy dwoma kartami sieciowymi. mial ktos z tym jakies doswiadczenia? prosilbym o pomoc bo robie to pierwszy raz a nie chce szkoly pozbawic neta  |
|
| Back to top |
|
|
Raku
Bodhisattva
Joined: 28 Feb 2004
Posts: 2374
Location: Poland
|
| Posted: Tue Mar 02, 2004 11:39 am Post subject: |
|
|
| misterLu wrote: | będę się kłucił.
Podepre się "TCP/IP Administracja sieci" wydawnictwa O'reilly (to chyba wiarygodne źródło)
We wszystkich klasach adresów IP zarezerwowane są również numery hostów 0 i 255.
Zgadzam się, że można tak zaadresować hosty, ale tego się nie stosuje. Nawet przy obliczaniu objętości podsieci, zawsze się odejmuje '2', własnie ze względu na adresy ...0 i ...255. |
http://groups.google.pl/groups?hl=pl&lr=&ie=UTF-8&inlang=pl&threadm=bsnbhm%247ok%2402%241%40news.t-online.com&rnum=16&prev=/groups%3Fq%3DPedziwiatr%2Bgroup:pl.comp.networking%26hl%3Dpl%26lr%3D%26ie%3DUTF-8%26inlang%3Dpl%26group%3Dpl.comp.networking%26start%3D10%26sa%3DN
owszem, odejmuje się 2, ale jeśli masz sieć z maską /16 (255.255.0.0), z zakresu od 192.168.0.0 do 192.168.255.255, to dlaczego masz mieć 256 adresów sieci i broadcastu?
odejmij sobie w takiej podsieci 2 i ci wyjdzie, że możesz mieć 65534 hosty
wg twojej metody, musiałbyś odjąć 512 - straciłbyś więc miejsce dla 510 hostów
polecam link z googli - też do niedawna uważałem, że nie można używać 0 i 255
_________________
raku
Powered by Archlinux |
|
| Back to top |
|
|
tokoloshe
Tux's lil' helper
Joined: 11 Jul 2003
Posts: 116
|
| Posted: Tue Mar 02, 2004 2:23 pm Post subject: |
|
|
| raku wrote: | | misterLu wrote: | będę się kłucił.
Podepre się "TCP/IP Administracja sieci" wydawnictwa O'reilly (to chyba wiarygodne źródło)
We wszystkich klasach adresów IP zarezerwowane są również numery hostów 0 i 255.
Zgadzam się, że można tak zaadresować hosty, ale tego się nie stosuje. Nawet przy obliczaniu objętości podsieci, zawsze się odejmuje '2', własnie ze względu na adresy ...0 i ...255. |
http://groups.google.pl/groups?hl=pl&lr=&ie=UTF-8&inlang=pl&threadm=bsnbhm%247ok%2402%241%40news.t-online.com&rnum=16&prev=/groups%3Fq%3DPedziwiatr%2Bgroup:pl.comp.networking%26hl%3Dpl%26lr%3D%26ie%3DUTF-8%26inlang%3Dpl%26group%3Dpl.comp.networking%26start%3D10%26sa%3DN
owszem, odejmuje się 2, ale jeśli masz sieć z maską /16 (255.255.0.0), z zakresu od 192.168.0.0 do 192.168.255.255, to dlaczego masz mieć 256 adresów sieci i broadcastu?
odejmij sobie w takiej podsieci 2 i ci wyjdzie, że możesz mieć 65534 hosty
wg twojej metody, musiałbyś odjąć 512 - straciłbyś więc miejsce dla 510 hostów
polecam link z googli - też do niedawna uważałem, że nie można używać 0 i 255 |
chyba troche nie rozumiesz co ma maska wspolnego z broadcastem i adresem sieci
1. siec puli 192.168.x.x jest z klasy C, czyli maska POWINNA byc 255.255.255.0
2.adres sieci i broadcast to te adresy, dla ktorych czesc hosta to odpowienio same 0 (siec) same 1(broadcast) w zapisie bitowym. biorac pod uwage Twoj przyklad z 192.168.0.0 broadcastem jest TYLKO 192.168.255.255 a adresem sieci 192.168.0.0.
zawsze w kazdej podsieci odejmuje sie 2 hosty od ilosc ogolnie dostepnej, wlasnie z przeznaczeniem na adres i broadcast. |
|
| Back to top |
|
|
Raku
Bodhisattva
Joined: 28 Feb 2004
Posts: 2374
Location: Poland
|
| Posted: Tue Mar 02, 2004 4:27 pm Post subject: |
|
|
| tokoloshe wrote: |
2.adres sieci i broadcast to te adresy, dla ktorych czesc hosta to odpowienio same 0 (siec) same 1(broadcast) w zapisie bitowym. biorac pod uwage Twoj przyklad z 192.168.0.0 broadcastem jest TYLKO 192.168.255.255 a adresem sieci 192.168.0.0.
zawsze w kazdej podsieci odejmuje sie 2 hosty od ilosc ogolnie dostepnej, wlasnie z przeznaczeniem na adres i broadcast. |
i ja dokładnie to pisałem
powtórzę więc jeszcze raz - w sieci z maską /16 można mieć adres z końcówką 255 lub 0 i będzie to jak najbardziej poprawny adres
_________________
raku
Powered by Archlinux |
|
| Back to top |
|
|
_Adik_
Apprentice
Joined: 09 Jan 2004
Posts: 205
Location: Katowice, Poland
|
| Posted: Tue Mar 02, 2004 7:55 pm Post subject: |
|
|
widze ze znacie sie na temacie wiec mam kolejne pytanie:
czy gdy zestawie pomost (bridge.sf.net ) miedzy
eth0 i eth1 moj komputer bedzie funkcjonowal jako
brama dla pozostalych?
byloby wtedy tak:
LAN <--> eth1 <--- bridge ---> eth0 <---> modem
chodzi mi o to ze obecnie komputery korzystaja ze starego routera,
ja chce go zamienic i czy robiac to bridgem ( dlatego nie maskarada bo
jak opisalem wyzej - kompy w sieci MUSZA miec publiczne ip )
komputer bedzie reagowal jako brama? czy nie stanie sie przypadkiem
tak ze brama stanie sie modem? mi by chodzilo o to zeby numer ip karty
eth1 byl jednoczesnie numerem bramy dla pozostalych z LAN'a...
Jesli macie jeszcze jakies propozycje to prosze pisac, bo juz od jutra
zaczynam z tym meczarnie, a od tego zalezy moja ocena na koniec roku
Z tego co wyczytalem na bridge.sf.net brama tworzy z obu kart sieciowych
tak jakby jedna "wirtualna" ktorej mozna nadac numer ip, wiec moze
ten numer stanie sie brama dla innych komputerow w LAN'ie?
Jesli ktos z was sie tym bawil prosilbym o pomoc... |
|
| Back to top |
|
|
tokoloshe
Tux's lil' helper
Joined: 11 Jul 2003
Posts: 116
|
| Posted: Tue Mar 02, 2004 9:57 pm Post subject: |
|
|
| _Adik_ wrote: | widze ze znacie sie na temacie wiec mam kolejne pytanie:
czy gdy zestawie pomost (bridge.sf.net ) miedzy
eth0 i eth1 moj komputer bedzie funkcjonowal jako
brama dla pozostalych?
byloby wtedy tak:
LAN <--> eth1 <--- bridge ---> eth0 <---> modem
chodzi mi o to ze obecnie komputery korzystaja ze starego routera,
ja chce go zamienic i czy robiac to bridgem ( dlatego nie maskarada bo
jak opisalem wyzej - kompy w sieci MUSZA miec publiczne ip )
komputer bedzie reagowal jako brama? czy nie stanie sie przypadkiem
tak ze brama stanie sie modem? mi by chodzilo o to zeby numer ip karty
eth1 byl jednoczesnie numerem bramy dla pozostalych z LAN'a...
Jesli macie jeszcze jakies propozycje to prosze pisac, bo juz od jutra
zaczynam z tym meczarnie, a od tego zalezy moja ocena na koniec roku
Z tego co wyczytalem na bridge.sf.net brama tworzy z obu kart sieciowych
tak jakby jedna "wirtualna" ktorej mozna nadac numer ip, wiec moze
ten numer stanie sie brama dla innych komputerow w LAN'ie?
Jesli ktos z was sie tym bawil prosilbym o pomoc... |
bridge dziala na warstwie nizszej niz ip (dziala na warstwie drugiej). jest przezroczysty dla ip, decyzja o przeslaniu czy nie danych na druga strone zostaje podjeta w oparciu o adres MAC (nie ip). dlatego komputery z jednej strony i z drugiej strony sieci beda sie widzialy i nie bedziesz mial mozliwosci ustawienia bridgowi ip, nie bedzie on dzialal jako brama. a nie wystarczy po po prostu ustawic tablicy routingu na serwerze?? nie trzeba zadnych mostow (ktore nie do tego sluza) |
|
| Back to top |
|
|
_Adik_
Apprentice
Joined: 09 Jan 2004
Posts: 205
Location: Katowice, Poland
|
| Posted: Wed Mar 03, 2004 6:24 am Post subject: |
|
|
napisz mi dokladnie jakie trzeba polecenia wydac, bo nie chce czegos zchrzanic
p.s. na stronie bridge.sf.net pisze ze mozna ustawic ip dla
bridge'a... |
|
| Back to top |
|
|
tokoloshe
Tux's lil' helper
Joined: 11 Jul 2003
Posts: 116
|
| Posted: Wed Mar 03, 2004 12:51 pm Post subject: |
|
|
| _Adik_ wrote: | napisz mi dokladnie jakie trzeba polecenia wydac, bo nie chce czegos zchrzanic
p.s. na stronie bridge.sf.net pisze ze mozna ustawic ip dla
bridge'a... |
tylko ja nie wiem czy dobrze rozumiem co Ty chcesz zrobic.
na eth0 adres dostajesz z dhcp z publicznej puli?? kompy w lanie skad maja ip?? tez publiczne?? (wnioskuje ze tak)
jesli adresy sieciowek na eth0 i eth1 jest z tej samej podsieci, czyli tak naprawde powinna byc to jedna siec. to istotnie powinienes postawic brdige. przypisac mu wirtualny adres/siec. tak jak jest to opisane w faq
zobacz tablice /sbin/route -n, co teraz masz?? czy zgadza to sie ze stanem mile widzianym
pozniej caly ruch puscic przez wyjscie na swiat, czyli:
/sbin/route add default gw [numerek ip wyjscia do isp]
wydaje mi sie ze powinno krzesac, ale jak cos... |
|
| Back to top |
|
|
_Adik_
Apprentice
Joined: 09 Jan 2004
Posts: 205
Location: Katowice, Poland
|
| Posted: Wed Mar 03, 2004 6:40 pm Post subject: |
|
|
dobra, dzieki, juz sobie poradzilem sam
dla innych ktorzy beda miec podobne problemy
polecam man iptables i www.giptables.com, fajne
skrypciki ktore skonfiguruja brame, firewall i kilka
innych uslug na podstawie iptables |
|
| Back to top |
|
|
_troll_
Bodhisattva
Joined: 04 Feb 2004
Posts: 1971
Location: Warszawa, Poland
|
| Posted: Fri Mar 05, 2004 10:44 pm Post subject: |
|
|
| tokoloshe wrote: |
2.adres sieci i broadcast to te adresy, dla ktorych czesc hosta to odpowienio same 0 (siec) same 1(broadcast) w zapisie bitowym. biorac pod uwage Twoj przyklad z 192.168.0.0 broadcastem jest TYLKO 192.168.255.255 a adresem sieci 192.168.0.0.
zawsze w kazdej podsieci odejmuje sie 2 hosty od ilosc ogolnie dostepnej, wlasnie z przeznaczeniem na adres i broadcast. |
taka jest regula - a jak wiadomo reguly sa po to by je lamac.... tylko nie zawsze wychodzi z tego cos dobrego.
bardziej zrozumiale - zgadzam sie z Toba - same zera (bitowo) na aders sieciowy i same 1 (bitowo) na adres broadcastowy, przy czym - jest to JEDYNIE REGULA. adresy te mozna ustawic dowolnie w danej podsieci, ale raczej sie tego nie zaleca. Przypinam sie do Twojego stwierdzenia 'TYLKO' - dzialalem kiedys dla zabawy na innych adresach i nie bylo problemow.
to takie moje 0,02 PLN
_________________
Życie jest jak pudełko czekoladek....
Nigdy nie wiesz na co trafisz" by mother of Forrest Gump |
|
| Back to top |
|
|
|
Polskie forum (Polish)
