Страница 1 из 1
Какой софт ставить?
Добавлено: 12 апр 2003, 21:30
TechNoir
Привет Всем, давно не виделись
Cитуация:
Организация подключается к интернету по выделенной линии.
То есть имеет один "интернетовский" IP-адрес.
Необходимо четыре подсети: 192.168.1.x, 192.168.2.x,192.168.3.x и 192.168.4.x через Unix'-овый (FreeBSD) коммуникационный сервер подключить к интернету.
Необходимо также чтобы подсети друг друга не видели.
Требуется также какой-то там FireWall поставить. В общем чтобы все было надежно и на века.
Что ставить и как сделать все фундаментально?
Буду очень благодарен.
Добавлено: 12 апр 2003, 22:12
Llama
Hi! Для того, чтобы это сделать, тебе надо
1) Включить маршрутизацию - чтобы пакеты вообще могли жодить между интерфейсами
2) Накрутить файрвол, чтобы он не пускал пакеты между подестыми, но пускал наружу - в бзде это делает ipfw
3) Настроить NAT
4) Если взгомоздишь туда какой-нить не rpm-based линух - то смогу помочь дальше
Добавлено: 13 апр 2003, 14:05
TechNoir
Merci Llama, занимаюсь.
Добавлено: 05 май 2003, 18:03
TechNoir
Выделенки пока нет.
Могу я временно "коммутируемый модем" поставить.
Тренироваться на нем так сказать. Дровишки найдутся?
(FreeBSD)
Добавлено: 05 май 2003, 22:34
Llama
Если это внешний или "железный" модем - то да, дров особых не надо, только поддержка ppp & pppd. Если дерьмецо типа win(soft)modem - то я сомневаюсь. Проблематично бывает дро под линух найти, не то, что под BSD. Вообще говоря, свою схему ты можешь проверить без модема полностью.
Добавлено: 20 май 2003, 21:59
TechNoir
Вообще то вещи, которые я сеичас внизу буду спрашивать, мне уже давно пора знать как "специалисту", но к сожалению не знаю.
Позор мне!
Спрошу тем не менее:
< Выделяя канал >
Имею информацию:
============================
IP-адрес выделенного канала:
============================
Внешнии шлюз: 2xx.106.192.161
Внешнии модем: 2xx.106.192.162
Внутреннии модем: 2xx.106.192.163
Внутреннии шлюз: 2xx.106.192.164
============================
Характеристики выделенного канала
============================
Номер канала: 21456
Номер коробки: 57
Пара: 1
Прямое питание: 2014 (со стороны ГТС)
Известна также маска подсети: 255.255.255.248
-------------------------------
Объясни пожалуиста подробно что все это значит.
Понятно, что это чье-то подключение по выделеннои линии. Образовалась "маленькая" подсеть из семи IP-адресов.
Я думаю, что на стороне проваидера имеется модем, за которым закреплен IP=2xx.106.192.162, а также некии внешнии шлюз с IP=2xx.106.192.161. Мне не понятно следующее: Если имеются два IP на стороне проваидера, то соответсвенно они закреплены за двумя сетевыми интерфеисами - один из них мне известен - это модем, а второи (шлюз то бишь)??
То же самое на стороне подключаемо стороны, почему два IP ? Разве IP-шки модемов не являются одновременно IP адресами маршрутизаторов?
Я насчитал 4 "занятых" интерфеиса, происхожение двух из них мне не понятно.
Далее, 2xx.106.192.160 - это адрес подсети - это тоже вроде бы понятно.
IP=2xx.106.192.167 - это такои IP, что если на него отправить какои-нибудь пакет, то его получат все сетевые интерфеисы даннои подсети.
Остаются свободными адреса:
2xx.106.192.165
2xx.106.192.166
Они так и остаются висячими в воздухе, или их можно будет как-то использовать, если можно, то как?
В сети с таким минимальным количеством IP можно ли будет выставить дополнительные www,ftp,smtp и пр. сервера, доступные из интернета, если не напрягать, ту самую машину, через которую локальная сеть имеет доступ в интернет, то есть машина с модемом 2xx.106.192.163, как я уже писал выше.??
Просьба объяснить все подробно или же указать место в интернете, где содержится вся необходимая учебная информация по подключению организации по выделеннои линии к интернету (Так, чтобы "внешних" IP-шек тоже вдоволь было.)
Большое спасибо!
P.S. Просьба также посказать что значит запись:
2xx.106.192.32/240
Добавлено: 20 май 2003, 23:56
Llama
1) Купи книгу Олифера "компьютерные сети" - с тех пор как ты стал задавать тут вопросы, выщло 2 издание...
2) Хотелось бы напомнить - что понятие "адрес маршрутизатора (хоста))" некоррестно. Правильнее - адрес интерфейса. 1 интерфейс может иметь несколько ip (сделай ifconfig eth0:0 192.168.1.1 и проверь
) )
Несколько физических интерфейсов могут иметь общий адрес (например, при объединении в транк).
3) Поэтому - одна пара твоих адресов - это адреса модемов, соединенных выделенной линией. вторая пара адресов - это адреса сетевых интерфейсов подключенных к твоей локальной сети и к сети провайдера соответсвенно. Пежду интерфейсам пакеты свободно передаются (должны, по крайней мере).
4) Напоминю так же, что адреса, в которых номер хоста - это все единицы или нули в двоичном виде не может использоваться. Твоей маске соответсвует 8 адресов, два крайних не применимы, 4 использованы, 2 остаются в твоем распоряжении...
5) Что касется дополнительных серверов - в твоем распоряжении 2 реальных ip на которые ты можешь повесить ftp напрмер. web и mail могут висеть прекрасно и на внутренних ip - почитай iptables tutorial по повду dnat в линухе - пакеты приходящие например на 80 порт маршрутизатора меняют свой адрес на 192.168.1.1 например и предаются внутреннему серверу. Обратно они уходят по snat/masq. ftp требует connection trcking, которые в свою очередь требует ресурсов из-ща большого объема трафика и относительно сложной реализации, так что грузить маршрутизатор который делает dnat ftp-трафиком не стои. Если ftp трафик маленький - возможно имеет смысл сделать ftp сервер прямо на маршрутизаторе (что не есть зороше с точки зрения безопастности), иначе - вешай на свободный ip/
6) Если после предыдущего пункта тебе все еще хочется много внешних адресов, то получить их можно только у провайдера либо в соответсвующей международной организации (icann кажется). Купить у провайдера значительно проще.
Добавлено: 21 май 2003, 11:18
TechNoir
1) Книжку Олифера давно купил, но прочитал не всю, до глобальных сетеи не дошел
2)Насчет того, что понятие "адрес маршрутизатора" не корректно - я с тобои согласен, это мы как-то давно обсуждали и я вроде удовлетворился.
Новость для меня: "1 интерфеис может иметь несколько ip" - пока не понятно!
3)Твое: "Поэтому - одна пара твоих адресов - это адреса модемов, соединенных выделенной линией. вторая пара адресов - это адреса сетевых интерфейсов подключенных к твоей локальной сети и к сети провайдера соответсвенно. Пежду интерфейсам пакеты свободно передаются (должны, по крайней мере)."
Даваи вот здесь подробненько обсудим:
Например вот в локально сети(технологии Ethernet скажем) мне понятно как соединить вместе несколько хостов, какждый со своим интерфейсом. Просто присоединить их к хабу, назначить каждому интерфеису по IP. Один выделить маршрутизатором, добавить к маршрутизатору еще один интерфеис (собственно для того чтобы он и был маршрутизтором). Я к чему это говорю: Количество машин в локальнои сети известнои мне технологии Ethernet я могу задавать "неограниченное" (ну на сколько позволяет технология) количество.
А вот ситуация, когда подсеть построена на базе соединненых друг с другом машин, имеющих модемы - мне не понятна. Как машин может быть больше чем 2? Те другие машины (или интерфеисы) :
внутреннии шлюз,
внешнии шлюз,
два свободных IP, на которые я могу поставить скажем на одну ftp, на другую web-сервер. - Интерфеисы какои сетевои технологии используются на этих четырех машинах.
Ну хочу я использовать свободные два IP, как мне их заполучить?
Ты пишешь, что вторая пара адресов, это адреса сетевых интерфеисов, подключенных к твоеи локальнои сети.
К моеи локальнои сети подключен интерфеис технологии Ethernet и имеющии IP = 192.168.1.1.
Он же является шлюзом для локальнои сети 192.168.1.0.
Объясни пожалуиста Внутреннии шлюз 2xx.106.192.164 - он на каком сетевом интерфеисе (какои технологии) сидит?
Да, и пожалуиста, посмотри P.S. предыдущего сообщения.
Спасибо!
Добавлено: 22 май 2003, 11:32
TechNoir
<?>
Добавлено: 22 май 2003, 12:47
Varjat
2 Boris FR:
пожалуй я тебе смогу тоже это обяснить :о)
итак:
2xx.106.192.32/240 записано в принципе не правильно, скорее всего имелось в виду, что маска сети 2xx.106.192.32 255.255.255.240 , хотя по науке это стоило бы записать как 2xx.106.192.32/28 (где 28- количество едениц в маске сети в двоичном виде)
Машина, соединённая модемом с провайдером в данном случае является шлюзом (внутренним) и на ней должен стоят соответсвующий софт для маршрутизации пакетов между сетью(сетями) и удалённой машиной(сетью или сетями) провайдера.
Насчёт четырёх интерфейсов:
внешний шлюз - ip адрес интерфевса машины провайдера, (к кот. подключён мопед) со стороны сети провайдера
внешний модем - ip адрес интерфевса машины провайдера к котрому подсоединён модем(можно считать, что адрес модема, для простота осознавания) Этот адрес используется только для связи между модемами.
Внутренний модем - то же, что и предыдущее, только на твоей машине
Внутренний шлюз - интерфевс твоей машины, к которому обращаеются другие тови машины из выделенной тобой сети или которые будут натится (см ниже)
Шлюзы - обычные елементы ethernet a , модемы, общаются тоже через tcp/ip, но tcp/ip инкапсулируется в другой протокол (ppp например) для передачи данных.
По поводу ftp и www
) Смысл такой, что эти машины имеют статический ip из твоей локальной сети и тогда на шлюзе тебе надо делать NAT, то есть выполнять подмену твоего локального ареса на реальный; второй вариант на эти машины вешаешь два свободных реальных ip
) то есть 2xx.106.192.165 и 2xx.106.192.166 (Liama это лучше объяснил :о))
Я бы ещё на твоём месте попросил прова, чтоб он повесил модемную связку 2xx.106.192.162-2xx.106.192.163 на локальные ip и настроил маршрутизацию на шлюзах(его и твоём), тогда у тя будет 4 реальных ip в пользовании под твои нужды :о))
К моеи локальнои сети подключен интерфеис технологии Ethernet и имеющии IP = 192.168.1.1.
Он же является шлюзом для локальнои сети 192.168.1.0.
Объясни пожалуиста Внутреннии шлюз 2xx.106.192.164 - он на каком сетевом интерфеисе (какои технологии) сидит?
На том же, что и 192.168.1.1
))
На один интерфейс можно вешать несколько ip и это здорово. То есть к примеру в линуксе (в винде тоже, но обозначается по другому) сетевуха (eth0)может иметь несколько адресов. eth0:0 192.168.1.5 eth0:1 212.212.212.212 eth0:2 127.0.0.5 eth0:3 192.9.100.3 и т.д.
)
Добавлено: 22 май 2003, 14:05
Llama
Varjat писал(а):
2xx.106.192.32/240 записано в принципе не правильно, скорее всего имелось в виду, что маска сети 2xx.106.192.32 255.255.255.240 , хотя по науке это стоило бы записать как 2xx.106.192.32/28 (где 28- количество едениц в маске сети в двоичном виде)
Или /24 = 255.255.255.0 - стандартная маска сети класса C позволяющая иметь в сети до 254 узлов.
Varjat писал(а):
Я бы ещё на твоём месте попросил прова, чтоб он повесил модемную связку 2xx.106.192.162-2xx.106.192.163 на локальные ip и настроил маршрутизацию на шлюзах(его и твоём), тогда у тя будет 4 реальных ip в пользовании под твои нужды :о))
Стого говоря IP там не нужны. Хотя ради удобства администрирования их там держат, т.к это уменьшает геморрой. А на своем шлюзе маршрутизацию и сам можешь настроить. Для того надо на всех машинах сети включить default gateway на твой шлюз. а на на самом шлюзе default gateway должен указывать на шлзз провайдера (например IP на его модема, как в твоем случае). Возможно придется еще прописать статический маршрут, чтобы пакеты к провайдеру уходили через модем, если за тебя это не сделает pppd, ну и ессно разрешить передачу пакетов между интерфейсами в ядре.
Добавлено: 22 май 2003, 17:14
X-Stranger
Кстати, книга, подобная книге Олифера, в электронном варианте есть в нашем разделе файлов на сайте.