The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
разбор полетов, нужно мнение,доступ+маршрутизация, !*! avator, 19-Мрт-10, 12:27  [смотреть все]
Привет Всем!
Помогите разобраться в ситуации:
есть сетки(кусочек)

10.1.10.0/24 <-> 10.1.10.1 eth1(router) 10.1.1.4 (eth0) <-> 10.1.1.0/24

router - linux напичканый сетевухами, все сетки работают исправно!!!

так вот в 10.1.10/24 воткнули HP сервак с ILO и был выдан адрес 10.1.10.205(делали это спецы из другой конторы, не первый раз!!!!),после чего заявили,что у них нет доступа на 443 порт(управление осуществляется через веб морду) из других сеток,только из 10.1.10.0

Так вот пинги из 10.1.1./24 проходили нормально, а вот все остальное никак(смотрел tcpdump в разных вариациях).

это сканы сделаны из 10.1.1.0 сетки

nmap -v -A 10.1.10.205

Starting Nmap 5.21 ( http://nmap.org ) at 2010-03-17 14:19 EET
NSE: Loaded 36 scripts for scanning.
Initiating Ping Scan at 14:19
Scanning 10.1.10.205 [4 ports]
Completed Ping Scan at 14:19, 0.20s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 14:19
Completed Parallel DNS resolution of 1 host. at 14:19, 0.00s elapsed
Initiating SYN Stealth Scan at 14:19
.......
Initiating Traceroute at 14:23
Completed Traceroute at 14:23, 0.01s elapsed
NSE: Script scanning 10.1.10.205.
NSE: Script Scanning completed.
Nmap scan report for it-dept....... (10.1.10.205)
Host is up (0.00096s latency).
Not shown: 996 closed ports
PORT      STATE    SERVICE VERSION
22/tcp    filtered ssh
80/tcp    filtered http
443/tcp   filtered https
17988/tcp filtered unknown
Too many fingerprints match this host to give specific OS details
Network Distance: 2 hops
.........

после долгих требований предоставить настройки этого ILO был выслан принтскрин где маска установлена в 16 бит,соответственно спецы признали,что очепятались изменив на 24 все заработало,но в наш адрес посыпались обвинения в неправильной настройке маршрутизации и т.д. и т.п.!!!!
на следующий день был проведен эксперимент(путем вкл завалявшегося сервачка):

1. 10.1.10.150/24 без указания шлюза
2. 10.1.10.150/16 с указанием шлюза

ни одна из указаных схем не заработала(и не должна)
остается вопрос почему у них с 16-битовой маской icmp пинги ходили, а все остальное не работало(изначально мы предполагали отсутствие шлюза)

P.S. или там на ILO существует свой фаер, который по умолчанию пускает только из своей сетки, и нам ВРАЛИ о влиянии 16-битовой маски????

Ответить | Сообщить модератору
  • разбор полетов, нужно мнение,доступ+маршрутизация, !*! vvvua, 14:15 , 19-Мрт-10 (1)
    • разбор полетов, нужно мнение,доступ+маршрутизация, !*! avator, 22:29 , 19-Мрт-10 (2)
      >
      >>1. 10.1.10.150/24 без указания шлюза
      >>2. 10.1.10.150/16 с указанием шлюза
      >
      >если сетевуха 10.1.10.1/24, то в 1-м случае пинги будут ходить с роутера
      >на серв и наоборот,
      >во 2-м случае должно тоже работать в соединении роутер-серв, но не сдругих
      >сетей. Будут работать те сети, который не входят в 10.1.0.0/16. Тут
      >уже могут косячить правила файрвола и NAT'a.

      отсутствуют как таковые:
      iptables -L
      Chain INPUT (policy ACCEPT)
      target     prot opt source               destination        

      Chain FORWARD (policy ACCEPT)
      target     prot opt source               destination        

      Chain OUTPUT (policy ACCEPT)
      target     prot opt source               destination  
      >
      >Во 2-м случае 10.1.1.0/24 входит в сеть 10.1.10.150/16 (вернее 10.1.0.0/16), поэтому ответ
      >идет не потой записи маршрутизации.
      >

      т.е. при установке на хосте 10.1.10.150/16 должно работать следующее:
      Ping 10.1.10.150 source 10.1.1.2
      я правильно понял?

      Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру