Какой софт ставить?

TechNoir · Сообщение **TechNoir** » 12 апр 2003, 21:30

Привет Всем, давно не виделись

Cитуация:
Организация подключается к интернету по выделенной линии.
То есть имеет один "интернетовский" IP-адрес.

Необходимо четыре подсети: 192.168.1.x, 192.168.2.x,192.168.3.x и 192.168.4.x через Unix'-овый (FreeBSD) коммуникационный сервер подключить к интернету.
Необходимо также чтобы подсети друг друга не видели.
Требуется также какой-то там FireWall поставить. В общем чтобы все было надежно и на века.

Что ставить и как сделать все фундаментально?
Буду очень благодарен.

Llama · Сообщение **Llama** » 12 апр 2003, 22:12

Hi! Для того, чтобы это сделать, тебе надо
1) Включить маршрутизацию - чтобы пакеты вообще могли жодить между интерфейсами
2) Накрутить файрвол, чтобы он не пускал пакеты между подестыми, но пускал наружу - в бзде это делает ipfw
3) Настроить NAT
4) Если взгомоздишь туда какой-нить не rpm-based линух - то смогу помочь дальше

TechNoir · Сообщение **TechNoir** » 13 апр 2003, 14:05

Merci Llama, занимаюсь.

TechNoir · Сообщение **TechNoir** » 05 май 2003, 18:03

Выделенки пока нет.
Могу я временно "коммутируемый модем" поставить.
Тренироваться на нем так сказать. Дровишки найдутся?

(FreeBSD)

Llama · Сообщение **Llama** » 05 май 2003, 22:34

Если это внешний или "железный" модем - то да, дров особых не надо, только поддержка ppp & pppd. Если дерьмецо типа win(soft)modem - то я сомневаюсь. Проблематично бывает дро под линух найти, не то, что под BSD. Вообще говоря, свою схему ты можешь проверить без модема полностью.

TechNoir · Сообщение **TechNoir** » 20 май 2003, 21:59

Вообще то вещи, которые я сеичас внизу буду спрашивать, мне уже давно пора знать как "специалисту", но к сожалению не знаю.
Позор мне!

Спрошу тем не менее:

< Выделяя канал >

Имею информацию:

============================
IP-адрес выделенного канала:
============================
Внешнии шлюз: 2xx.106.192.161
Внешнии модем: 2xx.106.192.162
Внутреннии модем: 2xx.106.192.163
Внутреннии шлюз: 2xx.106.192.164

============================
Характеристики выделенного канала
============================
Номер канала: 21456
Номер коробки: 57
Пара: 1
Прямое питание: 2014 (со стороны ГТС)

Известна также маска подсети: 255.255.255.248

-------------------------------
Объясни пожалуиста подробно что все это значит.
Понятно, что это чье-то подключение по выделеннои линии. Образовалась "маленькая" подсеть из семи IP-адресов.
Я думаю, что на стороне проваидера имеется модем, за которым закреплен IP=2xx.106.192.162, а также некии внешнии шлюз с IP=2xx.106.192.161. Мне не понятно следующее: Если имеются два IP на стороне проваидера, то соответсвенно они закреплены за двумя сетевыми интерфеисами - один из них мне известен - это модем, а второи (шлюз то бишь)??
То же самое на стороне подключаемо стороны, почему два IP ? Разве IP-шки модемов не являются одновременно IP адресами маршрутизаторов?

Я насчитал 4 "занятых" интерфеиса, происхожение двух из них мне не понятно.

Далее, 2xx.106.192.160 - это адрес подсети - это тоже вроде бы понятно.
IP=2xx.106.192.167 - это такои IP, что если на него отправить какои-нибудь пакет, то его получат все сетевые интерфеисы даннои подсети.
Остаются свободными адреса:

2xx.106.192.165
2xx.106.192.166

Они так и остаются висячими в воздухе, или их можно будет как-то использовать, если можно, то как?

В сети с таким минимальным количеством IP можно ли будет выставить дополнительные www,ftp,smtp и пр. сервера, доступные из интернета, если не напрягать, ту самую машину, через которую локальная сеть имеет доступ в интернет, то есть машина с модемом 2xx.106.192.163, как я уже писал выше.??

Просьба объяснить все подробно или же указать место в интернете, где содержится вся необходимая учебная информация по подключению организации по выделеннои линии к интернету (Так, чтобы "внешних" IP-шек тоже вдоволь было.)

Большое спасибо!

P.S. Просьба также посказать что значит запись:
2xx.106.192.32/240

Llama · Сообщение **Llama** » 20 май 2003, 23:56

1) Купи книгу Олифера "компьютерные сети" - с тех пор как ты стал задавать тут вопросы, выщло 2 издание...

2) Хотелось бы напомнить - что понятие "адрес маршрутизатора (хоста))" некоррестно. Правильнее - адрес интерфейса. 1 интерфейс может иметь несколько ip (сделай ifconfig eth0:0 192.168.1.1 и проверь

) )
Несколько физических интерфейсов могут иметь общий адрес (например, при объединении в транк).

3) Поэтому - одна пара твоих адресов - это адреса модемов, соединенных выделенной линией. вторая пара адресов - это адреса сетевых интерфейсов подключенных к твоей локальной сети и к сети провайдера соответсвенно. Пежду интерфейсам пакеты свободно передаются (должны, по крайней мере).

4) Напоминю так же, что адреса, в которых номер хоста - это все единицы или нули в двоичном виде не может использоваться. Твоей маске соответсвует 8 адресов, два крайних не применимы, 4 использованы, 2 остаются в твоем распоряжении...

5) Что касется дополнительных серверов - в твоем распоряжении 2 реальных ip на которые ты можешь повесить ftp напрмер. web и mail могут висеть прекрасно и на внутренних ip - почитай iptables tutorial по повду dnat в линухе - пакеты приходящие например на 80 порт маршрутизатора меняют свой адрес на 192.168.1.1 например и предаются внутреннему серверу. Обратно они уходят по snat/masq. ftp требует connection trcking, которые в свою очередь требует ресурсов из-ща большого объема трафика и относительно сложной реализации, так что грузить маршрутизатор который делает dnat ftp-трафиком не стои. Если ftp трафик маленький - возможно имеет смысл сделать ftp сервер прямо на маршрутизаторе (что не есть зороше с точки зрения безопастности), иначе - вешай на свободный ip/

6) Если после предыдущего пункта тебе все еще хочется много внешних адресов, то получить их можно только у провайдера либо в соответсвующей международной организации (icann кажется). Купить у провайдера значительно проще.

TechNoir · Сообщение **TechNoir** » 21 май 2003, 11:18

1) Книжку Олифера давно купил, но прочитал не всю, до глобальных сетеи не дошел

2)Насчет того, что понятие "адрес маршрутизатора" не корректно - я с тобои согласен, это мы как-то давно обсуждали и я вроде удовлетворился.
Новость для меня: "1 интерфеис может иметь несколько ip" - пока не понятно!

3)Твое: "Поэтому - одна пара твоих адресов - это адреса модемов, соединенных выделенной линией. вторая пара адресов - это адреса сетевых интерфейсов подключенных к твоей локальной сети и к сети провайдера соответсвенно. Пежду интерфейсам пакеты свободно передаются (должны, по крайней мере)."

Даваи вот здесь подробненько обсудим:
Например вот в локально сети(технологии Ethernet скажем) мне понятно как соединить вместе несколько хостов, какждый со своим интерфейсом. Просто присоединить их к хабу, назначить каждому интерфеису по IP. Один выделить маршрутизатором, добавить к маршрутизатору еще один интерфеис (собственно для того чтобы он и был маршрутизтором). Я к чему это говорю: Количество машин в локальнои сети известнои мне технологии Ethernet я могу задавать "неограниченное" (ну на сколько позволяет технология) количество.
А вот ситуация, когда подсеть построена на базе соединненых друг с другом машин, имеющих модемы - мне не понятна. Как машин может быть больше чем 2? Те другие машины (или интерфеисы) :

внутреннии шлюз,
внешнии шлюз,
два свободных IP, на которые я могу поставить скажем на одну ftp, на другую web-сервер. - Интерфеисы какои сетевои технологии используются на этих четырех машинах.

Ну хочу я использовать свободные два IP, как мне их заполучить?

Ты пишешь, что вторая пара адресов, это адреса сетевых интерфеисов, подключенных к твоеи локальнои сети.
К моеи локальнои сети подключен интерфеис технологии Ethernet и имеющии IP = 192.168.1.1.
Он же является шлюзом для локальнои сети 192.168.1.0.

Объясни пожалуиста Внутреннии шлюз 2xx.106.192.164 - он на каком сетевом интерфеисе (какои технологии) сидит?

Да, и пожалуиста, посмотри P.S. предыдущего сообщения.
Спасибо!

TechNoir · Сообщение **TechNoir** » 22 май 2003, 11:32

Varjat · Сообщение **Varjat** » 22 май 2003, 12:47

2 Boris FR:
пожалуй я тебе смогу тоже это обяснить :о)
итак:
2xx.106.192.32/240 записано в принципе не правильно, скорее всего имелось в виду, что маска сети 2xx.106.192.32 255.255.255.240 , хотя по науке это стоило бы записать как 2xx.106.192.32/28 (где 28- количество едениц в маске сети в двоичном виде)
Машина, соединённая модемом с провайдером в данном случае является шлюзом (внутренним) и на ней должен стоят соответсвующий софт для маршрутизации пакетов между сетью(сетями) и удалённой машиной(сетью или сетями) провайдера.
Насчёт четырёх интерфейсов:
внешний шлюз - ip адрес интерфевса машины провайдера, (к кот. подключён мопед) со стороны сети провайдера
внешний модем - ip адрес интерфевса машины провайдера к котрому подсоединён модем(можно считать, что адрес модема, для простота осознавания) Этот адрес используется только для связи между модемами.
Внутренний модем - то же, что и предыдущее, только на твоей машине
Внутренний шлюз - интерфевс твоей машины, к которому обращаеются другие тови машины из выделенной тобой сети или которые будут натится (см ниже)
Шлюзы - обычные елементы ethernet a , модемы, общаются тоже через tcp/ip, но tcp/ip инкапсулируется в другой протокол (ppp например) для передачи данных.
По поводу ftp и www

) Смысл такой, что эти машины имеют статический ip из твоей локальной сети и тогда на шлюзе тебе надо делать NAT, то есть выполнять подмену твоего локального ареса на реальный; второй вариант на эти машины вешаешь два свободных реальных ip

) то есть 2xx.106.192.165 и 2xx.106.192.166 (Liama это лучше объяснил :о))
Я бы ещё на твоём месте попросил прова, чтоб он повесил модемную связку 2xx.106.192.162-2xx.106.192.163 на локальные ip и настроил маршрутизацию на шлюзах(его и твоём), тогда у тя будет 4 реальных ip в пользовании под твои нужды :о))
К моеи локальнои сети подключен интерфеис технологии Ethernet и имеющии IP = 192.168.1.1.
Он же является шлюзом для локальнои сети 192.168.1.0.

Объясни пожалуиста Внутреннии шлюз 2xx.106.192.164 - он на каком сетевом интерфеисе (какои технологии) сидит?
На том же, что и 192.168.1.1

))
На один интерфейс можно вешать несколько ip и это здорово. То есть к примеру в линуксе (в винде тоже, но обозначается по другому) сетевуха (eth0)может иметь несколько адресов. eth0:0 192.168.1.5 eth0:1 212.212.212.212 eth0:2 127.0.0.5 eth0:3 192.9.100.3 и т.д.

)

Llama · Сообщение **Llama** » 22 май 2003, 14:05

Varjat писал(а): 2xx.106.192.32/240 записано в принципе не правильно, скорее всего имелось в виду, что маска сети 2xx.106.192.32 255.255.255.240 , хотя по науке это стоило бы записать как 2xx.106.192.32/28 (где 28- количество едениц в маске сети в двоичном виде)

Или /24 = 255.255.255.0 - стандартная маска сети класса C позволяющая иметь в сети до 254 узлов.

Varjat писал(а): Я бы ещё на твоём месте попросил прова, чтоб он повесил модемную связку 2xx.106.192.162-2xx.106.192.163 на локальные ip и настроил маршрутизацию на шлюзах(его и твоём), тогда у тя будет 4 реальных ip в пользовании под твои нужды :о))

Стого говоря IP там не нужны. Хотя ради удобства администрирования их там держат, т.к это уменьшает геморрой. А на своем шлюзе маршрутизацию и сам можешь настроить. Для того надо на всех машинах сети включить default gateway на твой шлюз. а на на самом шлюзе default gateway должен указывать на шлзз провайдера (например IP на его модема, как в твоем случае). Возможно придется еще прописать статический маршрут, чтобы пакеты к провайдеру уходили через модем, если за тебя это не сделает pppd, ну и ессно разрешить передачу пакетов между интерфейсами в ядре.

Сообщение **X-Stranger** » 22 май 2003, 17:14

Кстати, книга, подобная книге Олифера, в электронном варианте есть в нашем разделе файлов на сайте.