Изпечатай

[spritable]

Значи, имам една машина под федора 2, която ползвам като рутер (iptables), уеб сървър, днс. На нея имам 2 мрежови карти. Едната за АДСЛ-а, другата за вътрешната ми мрежа (192.168.0.254).

Искам да направя втора вътрешна мрежа (напр. 192.168.3.ххх), която да НЕ може да вижда компютрите от 192.168.0.ххх мрежата, но да може ползва интернет.

Има ли възможност да се направи това без да се слага 3-та мрежова карта на рутер-а? Ако няма какви трябва да са настройките за да се рутира правилно?

Да на мрежовата карта 192.168.0.ххх и ако интерфейса е eth0 пишеш
#ifconfig eth0:1 192.168.3.xxx netmask 255.255.255.0

Трябва да направиш скриптче което при всяко рестартиране да зарежда тази настройка

[Йордан]

Цитат (Guest @ Юни 02 2006,16:03)

Да на мрежовата карта 192.168.0.ххх и ако интерфейса е eth0 пишеш #ifconfig eth0:1 192.168.3.xxx netmask 255.255.255.0 Трябва да направиш скриптче което при всяко рестартиране да зарежда тази настройка

и накрая реда трябва да завърши с up Все пак трябва да се вдигне. Има и второ решение. То е може би по-ефикасно... само дето не си спомням как се изпълняваше. Но смисалът му е следния: Двете мрежи се дифинират - ИП'та и маски. И след това се правеше... не знам какво, за да могат да ползват шлюз извън обсега на мрежата си

Ако наистина не трябва да се "виждат" не може, не се заблуждавайте.

[spritable]

Благодаря за отговорите.

Всичко тръгна както трябва с новите адреси. Направив ifcfg-eth0:0 с новите настройки и сега всичко си пали даже при рестарт.

Но, найстина както gat3way казва, компютрите от другата мрежа се виждат.

Има ли някакъв начин да не се виждат?

Четох някакви статии за начин да не се виждат, но там дават пример ако има 3-та мрежова карта и се следят всички пакети минаващи за там и се дропят или нещо от сорта??!?!

[Hapkoc]

Принципно наистина няма как да стане да не се виждат, при положение, че използват един и същи физически сегмент. Една мрежова карта струва около 10 лева, така че бих ти препоръчал да си закупиш една и да си решиш проблема.

[Mitaka]

ifconfig eth1:0 192.168.3.1 netmask 255.255.255.xxx

Където xxx = 255 - (х+2) + 1, х - броя на компютрите, които ще са в мрежа 192.168.3.0.

Например, ако ще ползваш 6 компютъра в мрежа 192.168.3.0:

255 - 8 + 1 = 248, за маската се получава: 255.255.255.248, или:
192.168.3.0/29.

Адрес 192.168.3.1 ще бъде gateway-a за новата ти мрежа.
Broadcast-a ще бъде 192.168.3.7
Накрая:
iptables -A INPUT -s 192.168.0.0/24 -d 192.168.3.0/29 -j REJECT

Конфигурирана по този начин, мрежа 192.168.3.0 не би трябвало да вижда 192.168.0.0.

Реално използваеми в случая са 6 адреса. За това важи правилото: брой компютри + 2. (защото винаги първият и последният адрес от новосъздадената мрежа са неизползваеми! В случая, за да не стават грешки, пояснявам: 1-вия адрес е 192.168.3.0, а последният - 192.168.3.7, реално използваеми - от 192.168.3.1 до 192.168.3.6)

И един съвет: Като си правите мрежи, не лепвайте по "default" маска 255.255.255.0, а си направете сметка колко компютъра ще имате в мрежата, и си сметнете съответните маски. Ако не знаете как - ask google '>

Това би ви помогнало:

ххх = 255 - (х+2) + 1

[Hapkoc]

Митак, нещо не стоплям как така добавяйки правило за REJECT на пакети от едната мрежа към другата ще стане номера. Това правило ще работи при условие, че всички пакети от едната мрежа за към другата минават през шлюза, а при положение, че машините имат физическа свързаност какво ще накара примерно при:

ping 192.168.0.2

изпълнен от машина от другата мрежа да пусне пакета през шлюза?

Аз поне си мисля, че при arp заявка за 192.168.0.2 самата машина с такъв адрес ще върне своя си MAC.

[Йордан]

А някой ще каже ли за какво се ползват различни маски? Или просто ей така си ги слагаме? Защото или аз не съм разбрал или ... вече не знам... Ама маските пряко се отнасят до видимуста на две мрежи ?!?!

[laskov]

Цитат (Hapkoc @ Юни 05 2006,12:07)

Принципно наистина няма как да стане да не се виждат, при положение, че използват един и същи физически сегмент. Една мрежова карта струва около 10 лева, така че бих ти препоръчал да си закупиш една и да си решиш проблема.

И трябва да имаш отделни суичове за всяка от мрежите, ако Hapkoc позволи да го допълня. Друг "културен" вариант е ако суича ти поддържа vlan 802.1q  да си разделиш физическата LAN на две виртуални. Едно четиво

[melwin]

Мисля си ,че най лесният вариант е да пуснеш arp proxy на мрежовата карта. Така си гарантираш ,че целият трафик ще минава от там - съответно имаш пълен контрол кой,кого и как вижда.

echo 1 > /proc/sys/net/ipv4/conf/eth0/proxy_arp

[Hapkoc]

Хубаво де, ама някой като прати ARP заявка и получи два отговора какво ще стане (наистина си нямам идея)? Т.е. в случая ще отговори и самата машина с такъв IP адрес и шлюза, който е настроен да работи в proxy arp режим.

[melwin]

Цитат (Hapkoc @ Юни 05 2006,13:47)

Хубаво де, ама някой като прати ARP заявка и получи два отговора какво ще стане (наистина си нямам идея)? Т.е. в случая ще отговори и самата машина с такъв IP адрес и шлюза, който е настроен да работи в proxy arp режим.

Всъщност, човека не е обяснил много ясно каква му е топологията зад въпросната мрежова карта. Ако има хъб или суитч, на който са закачени клиентите от различните мрежи(т.е. са в един мрежов сегмент) тогава наистина няма как да не се виждат. Но ако въпросната мрежова карта е единствената им физическа връзка тогава може да стане по този начин.

[laskov]

Цитат (melwin @ Юни 05 2006,14:09)

Но ако въпросната мрежова карта е единствената им физическа връзка тогава може да стане по този начин.

Двупортова мрежова платка '>

[Hapkoc]

Да, вярно, обаче нещо не стоплям как ще стане два мрежови кабела да влизат в една платка. :)

Смисъл от платката на сървъра излиза един кабел и някъде по пътя трябва да се разделя, пък не се сещам как може да се раздели без switch или hub.