URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 680
[ Назад ]

Исходное сообщение
"Подсеть в большой сети с совпадающими IP"
Отправлено Dmitry , 05-Июн-03 11:43

Ситуация:
Есть сеть (1), адреса в ней 192.168.0.0/24, а так же реальные.
В ней есть компьютер с двумя сетевыми карточками: на первой реальный адрес, она подключена к сети 1, на второй 192.168.0.1, к ней подключена маленькая сеть (2) с адресами 192.168.0.0/24.
Компьютеры из подсети 2 ходят в интернет через этот маршрутизатор с двумя сетевыми карточками. Реализовано это в виде
ipchains -N veto
ipchains -A forward -s 192.168.0.0/24 -j veto
ipchains -A veto -s 192.168.0.2 -j MASQ
Проблема:
Каким-то образом этот маршрутизатор стал валить сервер в сети 1 с адресом 192.168.0.1 и с FreeBSD. При этом в логах у него указывается мак внешней (с реальным адресом) сетевой карты маршрутизатора.
Как это происходит и как этого избежать?

Содержание

Подсеть в большой сети с совпадающими IP,Michael, 12:09 , 05-Июн-03
- Подсеть в большой сети с совпадающими IP,Michael, 12:11 , 05-Июн-03
  - Подсеть в большой сети с совпадающими IP,Dmitry, 12:18 , 05-Июн-03
- Подсеть в большой сети с совпадающими IP,Dmitry, 12:17 , 05-Июн-03
  - Подсеть в большой сети с совпадающими IP,Michael, 16:37 , 05-Июн-03
  - Подсеть в большой сети с совпадающими IP,Michael, 16:44 , 05-Июн-03
Подсеть в большой сети с совпадающими IP,DonkeyHot, 13:24 , 05-Июн-03
- Подсеть в большой сети с совпадающими IP,Dmitry, 13:30 , 05-Июн-03
  - Подсеть в большой сети с совпадающими IP,DonkeyHot, 13:49 , 05-Июн-03
  - Подсеть в большой сети с совпадающими IP,Mikhail, 13:57 , 05-Июн-03

Сообщения в этом обсуждении

"Подсеть в большой сети с совпадающими IP"
Отправлено Michael , 05-Июн-03 12:09

>Ситуация:
>Есть сеть (1), адреса в ней 192.168.0.0/24, а так же реальные.
>В ней есть компьютер с двумя сетевыми карточками: на первой реальный адрес,
>она подключена к сети 1, на второй 192.168.0.1, к ней подключена
>маленькая сеть (2) с адресами 192.168.0.0/24.
>
>Компьютеры из подсети 2 ходят в интернет через этот маршрутизатор с двумя
>сетевыми карточками. Реализовано это в виде
>ipchains -N veto
>ipchains -A forward -s 192.168.0.0/24 -j veto
>ipchains -A veto -s 192.168.0.2 -j MASQ
>
>Проблема:
>Каким-то образом этот маршрутизатор стал валить сервер в сети 1 с адресом
>192.168.0.1 и с FreeBSD. При этом в логах у него указывается
>мак внешней (с реальным адресом) сетевой карты маршрутизатора.
>
>Как это происходит и как этого избежать?
имхо, тут много вариантов может быть...
поставь более жесткие правила, в частности, с указанием всех интерфейсов
запрети все остальное
проверь, везде ли правильно указан адрес шлюза

"Подсеть в большой сети с совпадающими IP"
Отправлено Michael , 05-Июн-03 12:11

а самое лучшее - разнеси подсети!
ибо пути геморроя в твоем случае неисповедимы :)

"Подсеть в большой сети с совпадающими IP"
Отправлено Dmitry , 05-Июн-03 12:18

>а самое лучшее - разнеси подсети!
они ведь и так физически разделены. или я неправильно понимаю?

"Подсеть в большой сети с совпадающими IP"
Отправлено Dmitry , 05-Июн-03 12:17

>поставь более жесткие правила, в частности, с указанием всех интерфейсов
в смысле ipchains -A forward -s 192.168.0.0/24 -i eth0 -j veto?
>запрети все остальное
а что именно все остальное? не понял.
>проверь, везде ли правильно указан адрес шлюза
да.

"Подсеть в большой сети с совпадающими IP"
Отправлено Michael , 05-Июн-03 16:37

>>поставь более жесткие правила, в частности, с указанием всех интерфейсов
>
>в смысле ipchains -A forward -s 192.168.0.0/24 -i eth0 -j veto?
>
>>запрети все остальное
>
>а что именно все остальное? не понял.
>
>>проверь, везде ли правильно указан адрес шлюза
>
>да.

"Подсеть в большой сети с совпадающими IP"
Отправлено Michael , 05-Июн-03 16:44

>>поставь более жесткие правила, в частности, с указанием всех интерфейсов
>в смысле ipchains -A forward -s 192.168.0.0/24 -i eth0 -j veto?
ну типа того...
еще можно добавить -d !192.168.0.0/24
>>запрети все остальное
>а что именно все остальное? не понял.
сделать действие по умолчанию DROP
запретить все попытки коннекта из большой сети в малую, причем с у казанием интерфейсов.
или, что еще лучше, все попытки межсетевого коннекта
>>проверь, везде ли правильно указан адрес шлюза
>да.
и в большой сети тоже?
и опять повторяю - переведи сеть на другие адреса, например на 192.168.1.0/24
иначе при ошибках или при преднамернных злоупотреблениях среди юзеров можно получить еще больше проблем...

"Подсеть в большой сети с совпадающими IP"
Отправлено DonkeyHot , 05-Июн-03 13:24

>Каким-то образом этот маршрутизатор стал валить сервер в сети 1 с адресом
>192.168.0.1
>Как это происходит и как этого избежать?
Есть предположение, что на ARP "who-knows 192.168.0.1" запросы из сети 1 маршрутизатор тоже отвечает. Ведь он действительно знает про этот адрес:-).
А что с этим делать?
Простой способ - обеспечить уникальность адреса (2)го конца маршрутизатора.
Другие способы выглядят сильно сложнее.

"Подсеть в большой сети с совпадающими IP"
Отправлено Dmitry , 05-Июн-03 13:30

>>Каким-то образом этот маршрутизатор стал валить сервер в сети 1 с >Простой способ - обеспечить уникальность адреса (2)го конца маршрутизатора.
>Другие способы выглядят сильно сложнее.
И все-таки мне хотелось бы реализовать другими способами, чтобы маршрутизатор не отвечал об адресах внутренней сети. Хотелось бы сделать вид, что в интернет ходит только одна машина, а не целая подсеть. Если я меняю адрес, то маршрутизатор все равно будет отвечать, но уже про жругой адрес, а этого бы не хотелось.

"Подсеть в большой сети с совпадающими IP"
Отправлено DonkeyHot , 05-Июн-03 13:49

>И все-таки мне хотелось бы реализовать другими способами,
Успехов. Готового ответа у меня нет.
Да пребудут с Вами обширные доки, понятные /proc/-ы и коментированые исходники:-)

"Подсеть в большой сети с совпадающими IP"
Отправлено Mikhail , 05-Июн-03 13:57

Так об этом народ и говорит...
В маленькой сетке меняется адресация (например, 172.28.х.х/32), а далее - nat (man ipchains на тему masq).