The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Подсеть в большой сети с совпадающими IP"
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [Проследить за развитием треда]

"Подсеть в большой сети с совпадающими IP"
Сообщение от Dmitry emailИскать по авторуВ закладки on 05-Июн-03, 11:43  (MSK)
Ситуация:
Есть сеть (1), адреса в ней 192.168.0.0/24, а так же реальные.
В ней есть компьютер с двумя сетевыми карточками: на первой реальный адрес, она подключена к сети 1, на второй 192.168.0.1, к ней подключена маленькая сеть (2) с адресами 192.168.0.0/24.

Компьютеры из подсети 2 ходят в интернет через этот маршрутизатор с двумя сетевыми карточками. Реализовано это в виде
ipchains -N veto
ipchains -A forward -s 192.168.0.0/24 -j veto
ipchains -A veto -s 192.168.0.2 -j MASQ

Проблема:
Каким-то образом этот маршрутизатор стал валить сервер в сети 1 с адресом 192.168.0.1 и с FreeBSD. При этом в логах у него указывается мак внешней (с реальным адресом) сетевой карты маршрутизатора.

Как это происходит и как этого избежать?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "Подсеть в большой сети с совпадающими IP"
Сообщение от Michael emailИскать по авторуВ закладки on 05-Июн-03, 12:09  (MSK)
>Ситуация:
>Есть сеть (1), адреса в ней 192.168.0.0/24, а так же реальные.
>В ней есть компьютер с двумя сетевыми карточками: на первой реальный адрес,
>она подключена к сети 1, на второй 192.168.0.1, к ней подключена
>маленькая сеть (2) с адресами 192.168.0.0/24.
>
>Компьютеры из подсети 2 ходят в интернет через этот маршрутизатор с двумя
>сетевыми карточками. Реализовано это в виде
>ipchains -N veto
>ipchains -A forward -s 192.168.0.0/24 -j veto
>ipchains -A veto -s 192.168.0.2 -j MASQ
>
>Проблема:
>Каким-то образом этот маршрутизатор стал валить сервер в сети 1 с адресом
>192.168.0.1 и с FreeBSD. При этом в логах у него указывается
>мак внешней (с реальным адресом) сетевой карты маршрутизатора.
>
>Как это происходит и как этого избежать?
имхо, тут много вариантов может быть...
поставь более жесткие правила, в частности, с указанием всех интерфейсов
запрети все остальное
проверь, везде ли правильно указан адрес шлюза
  Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Подсеть в большой сети с совпадающими IP"
Сообщение от Michael emailИскать по авторуВ закладки on 05-Июн-03, 12:11  (MSK)
а самое лучшее - разнеси подсети!
ибо пути геморроя в твоем случае неисповедимы :)
  Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Подсеть в большой сети с совпадающими IP"
Сообщение от Dmitry emailИскать по авторуВ закладки on 05-Июн-03, 12:18  (MSK)
>а самое лучшее - разнеси подсети!

они ведь и так физически разделены. или я неправильно понимаю?

  Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Подсеть в большой сети с совпадающими IP"
Сообщение от Dmitry emailИскать по авторуВ закладки on 05-Июн-03, 12:17  (MSK)
>поставь более жесткие правила, в частности, с указанием всех интерфейсов

в смысле ipchains -A forward -s 192.168.0.0/24 -i eth0 -j veto?

>запрети все остальное

а что именно все остальное? не понял.

>проверь, везде ли правильно указан адрес шлюза

да.


  Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "Подсеть в большой сети с совпадающими IP"
Сообщение от Michael emailИскать по авторуВ закладки on 05-Июн-03, 16:37  (MSK)
>>поставь более жесткие правила, в частности, с указанием всех интерфейсов
>
>в смысле ipchains -A forward -s 192.168.0.0/24 -i eth0 -j veto?
>
>>запрети все остальное
>
>а что именно все остальное? не понял.
>
>>проверь, везде ли правильно указан адрес шлюза
>
>да.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "Подсеть в большой сети с совпадающими IP"
Сообщение от Michael emailИскать по авторуВ закладки on 05-Июн-03, 16:44  (MSK)
>>поставь более жесткие правила, в частности, с указанием всех интерфейсов
>в смысле ipchains -A forward -s 192.168.0.0/24 -i eth0 -j veto?
ну типа того...
еще можно добавить -d !192.168.0.0/24

>>запрети все остальное
>а что именно все остальное? не понял.
сделать действие по умолчанию DROP
запретить все попытки коннекта из большой сети в малую, причем с у казанием интерфейсов.
или, что еще лучше, все попытки межсетевого коннекта

>>проверь, везде ли правильно указан адрес шлюза
>да.
и в большой сети тоже?

и опять повторяю - переведи сеть на другие адреса, например на 192.168.1.0/24
иначе при ошибках или при преднамернных злоупотреблениях среди юзеров можно получить еще больше проблем...

  Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Подсеть в большой сети с совпадающими IP"
Сообщение от DonkeyHot Искать по авторуВ закладки on 05-Июн-03, 13:24  (MSK)
>Каким-то образом этот маршрутизатор стал валить сервер в сети 1 с адресом
>192.168.0.1
>Как это происходит и как этого избежать?

Есть предположение, что на ARP "who-knows 192.168.0.1" запросы из сети 1 маршрутизатор тоже отвечает. Ведь он действительно знает про этот адрес:-).

А что с этим делать?
Простой способ - обеспечить уникальность адреса (2)го конца маршрутизатора.
Другие способы выглядят сильно сложнее.

  Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Подсеть в большой сети с совпадающими IP"
Сообщение от Dmitry emailИскать по авторуВ закладки on 05-Июн-03, 13:30  (MSK)
>>Каким-то образом этот маршрутизатор стал валить сервер в сети 1 с >Простой способ - обеспечить уникальность адреса (2)го конца маршрутизатора.
>Другие способы выглядят сильно сложнее.

И все-таки мне хотелось бы реализовать другими способами, чтобы маршрутизатор не отвечал об адресах внутренней сети. Хотелось бы сделать вид, что в интернет ходит только одна машина, а не целая подсеть. Если я меняю адрес, то маршрутизатор все равно будет отвечать, но уже про жругой адрес, а этого бы не хотелось.


  Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Подсеть в большой сети с совпадающими IP"
Сообщение от DonkeyHot Искать по авторуВ закладки on 05-Июн-03, 13:49  (MSK)
>И все-таки мне хотелось бы реализовать другими способами,
Успехов. Готового ответа у меня нет.
Да пребудут с Вами обширные доки, понятные /proc/-ы и коментированые исходники:-)

  Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Подсеть в большой сети с совпадающими IP"
Сообщение от Mikhail Искать по авторуВ закладки on 05-Июн-03, 13:57  (MSK)
Так об этом народ и говорит...
В маленькой сетке меняется адресация (например, 172.28.х.х/32), а далее - nat (man ipchains на тему masq).
  Рекомендовать в FAQ | Cообщить модератору | Наверх


Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру