Ситуация:
Есть сеть (1), адреса в ней 192.168.0.0/24, а так же реальные.
В ней есть компьютер с двумя сетевыми карточками: на первой реальный адрес, она подключена к сети 1, на второй 192.168.0.1, к ней подключена маленькая сеть (2) с адресами 192.168.0.0/24.Компьютеры из подсети 2 ходят в интернет через этот маршрутизатор с двумя сетевыми карточками. Реализовано это в виде
ipchains -N veto
ipchains -A forward -s 192.168.0.0/24 -j veto
ipchains -A veto -s 192.168.0.2 -j MASQПроблема:
Каким-то образом этот маршрутизатор стал валить сервер в сети 1 с адресом 192.168.0.1 и с FreeBSD. При этом в логах у него указывается мак внешней (с реальным адресом) сетевой карты маршрутизатора.Как это происходит и как этого избежать?
>Ситуация:
>Есть сеть (1), адреса в ней 192.168.0.0/24, а так же реальные.
>В ней есть компьютер с двумя сетевыми карточками: на первой реальный адрес,
>она подключена к сети 1, на второй 192.168.0.1, к ней подключена
>маленькая сеть (2) с адресами 192.168.0.0/24.
>
>Компьютеры из подсети 2 ходят в интернет через этот маршрутизатор с двумя
>сетевыми карточками. Реализовано это в виде
>ipchains -N veto
>ipchains -A forward -s 192.168.0.0/24 -j veto
>ipchains -A veto -s 192.168.0.2 -j MASQ
>
>Проблема:
>Каким-то образом этот маршрутизатор стал валить сервер в сети 1 с адресом
>192.168.0.1 и с FreeBSD. При этом в логах у него указывается
>мак внешней (с реальным адресом) сетевой карты маршрутизатора.
>
>Как это происходит и как этого избежать?
имхо, тут много вариантов может быть...
поставь более жесткие правила, в частности, с указанием всех интерфейсов
запрети все остальное
проверь, везде ли правильно указан адрес шлюза
а самое лучшее - разнеси подсети!
ибо пути геморроя в твоем случае неисповедимы :)
>а самое лучшее - разнеси подсети!они ведь и так физически разделены. или я неправильно понимаю?
>поставь более жесткие правила, в частности, с указанием всех интерфейсовв смысле ipchains -A forward -s 192.168.0.0/24 -i eth0 -j veto?
>запрети все остальное
а что именно все остальное? не понял.
>проверь, везде ли правильно указан адрес шлюза
да.
>>поставь более жесткие правила, в частности, с указанием всех интерфейсов
>
>в смысле ipchains -A forward -s 192.168.0.0/24 -i eth0 -j veto?
>
>>запрети все остальное
>
>а что именно все остальное? не понял.
>
>>проверь, везде ли правильно указан адрес шлюза
>
>да.
>>поставь более жесткие правила, в частности, с указанием всех интерфейсов
>в смысле ipchains -A forward -s 192.168.0.0/24 -i eth0 -j veto?
ну типа того...
еще можно добавить -d !192.168.0.0/24>>запрети все остальное
>а что именно все остальное? не понял.
сделать действие по умолчанию DROP
запретить все попытки коннекта из большой сети в малую, причем с у казанием интерфейсов.
или, что еще лучше, все попытки межсетевого коннекта>>проверь, везде ли правильно указан адрес шлюза
>да.
и в большой сети тоже?и опять повторяю - переведи сеть на другие адреса, например на 192.168.1.0/24
иначе при ошибках или при преднамернных злоупотреблениях среди юзеров можно получить еще больше проблем...
>Каким-то образом этот маршрутизатор стал валить сервер в сети 1 с адресом
>192.168.0.1
>Как это происходит и как этого избежать?Есть предположение, что на ARP "who-knows 192.168.0.1" запросы из сети 1 маршрутизатор тоже отвечает. Ведь он действительно знает про этот адрес:-).
А что с этим делать?
Простой способ - обеспечить уникальность адреса (2)го конца маршрутизатора.
Другие способы выглядят сильно сложнее.
>>Каким-то образом этот маршрутизатор стал валить сервер в сети 1 с >Простой способ - обеспечить уникальность адреса (2)го конца маршрутизатора.
>Другие способы выглядят сильно сложнее.И все-таки мне хотелось бы реализовать другими способами, чтобы маршрутизатор не отвечал об адресах внутренней сети. Хотелось бы сделать вид, что в интернет ходит только одна машина, а не целая подсеть. Если я меняю адрес, то маршрутизатор все равно будет отвечать, но уже про жругой адрес, а этого бы не хотелось.
>И все-таки мне хотелось бы реализовать другими способами,
Успехов. Готового ответа у меня нет.
Да пребудут с Вами обширные доки, понятные /proc/-ы и коментированые исходники:-)
Так об этом народ и говорит...
В маленькой сетке меняется адресация (например, 172.28.х.х/32), а далее - nat (man ipchains на тему masq).