forum.opennet.ru - "Подсеть в большой сети с совпадающими IP" (10)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Подсеть в большой сети с совпадающими IP"

Форумы Информационная безопасность (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Подсеть в большой сети с совпадающими IP"
Сообщение от Dmitry on 05-Июн-03, 11:43 (MSK)
Ситуация: Есть сеть (1), адреса в ней 192.168.0.0/24, а так же реальные. В ней есть компьютер с двумя сетевыми карточками: на первой реальный адрес, она подключена к сети 1, на второй 192.168.0.1, к ней подключена маленькая сеть (2) с адресами 192.168.0.0/24. Компьютеры из подсети 2 ходят в интернет через этот маршрутизатор с двумя сетевыми карточками. Реализовано это в виде ipchains -N veto ipchains -A forward -s 192.168.0.0/24 -j veto ipchains -A veto -s 192.168.0.2 -j MASQ Проблема: Каким-то образом этот маршрутизатор стал валить сервер в сети 1 с адресом 192.168.0.1 и с FreeBSD. При этом в логах у него указывается мак внешней (с реальным адресом) сетевой карты маршрутизатора. Как это происходит и как этого избежать?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

Подсеть в большой сети с совпадающими IP, Michael, 12:09 , 05-Июн-03, (1)
- Подсеть в большой сети с совпадающими IP, Michael, 12:11 , 05-Июн-03, (2)
  - Подсеть в большой сети с совпадающими IP, Dmitry, 12:18 , 05-Июн-03, (4)
- Подсеть в большой сети с совпадающими IP, Dmitry, 12:17 , 05-Июн-03, (3)
  - Подсеть в большой сети с совпадающими IP, Michael, 16:37 , 05-Июн-03, (9)
  - Подсеть в большой сети с совпадающими IP, Michael, 16:44 , 05-Июн-03, (10)
Подсеть в большой сети с совпадающими IP, DonkeyHot, 13:24 , 05-Июн-03, (5)
- Подсеть в большой сети с совпадающими IP, Dmitry, 13:30 , 05-Июн-03, (6)
  - Подсеть в большой сети с совпадающими IP, DonkeyHot, 13:49 , 05-Июн-03, (7)
  - Подсеть в большой сети с совпадающими IP, Mikhail, 13:57 , 05-Июн-03, (8)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Подсеть в большой сети с совпадающими IP"

Сообщение от Michael on 05-Июн-03, 12:09  (MSK)

>Ситуация:
>Есть сеть (1), адреса в ней 192.168.0.0/24, а так же реальные.
>В ней есть компьютер с двумя сетевыми карточками: на первой реальный адрес,
>она подключена к сети 1, на второй 192.168.0.1, к ней подключена
>маленькая сеть (2) с адресами 192.168.0.0/24.
>
>Компьютеры из подсети 2 ходят в интернет через этот маршрутизатор с двумя
>сетевыми карточками. Реализовано это в виде
>ipchains -N veto
>ipchains -A forward -s 192.168.0.0/24 -j veto
>ipchains -A veto -s 192.168.0.2 -j MASQ
>
>Проблема:
>Каким-то образом этот маршрутизатор стал валить сервер в сети 1 с адресом
>192.168.0.1 и с FreeBSD. При этом в логах у него указывается
>мак внешней (с реальным адресом) сетевой карты маршрутизатора.
>
>Как это происходит и как этого избежать?
имхо, тут много вариантов может быть...
поставь более жесткие правила, в частности, с указанием всех интерфейсов
запрети все остальное
проверь, везде ли правильно указан адрес шлюза

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Подсеть в большой сети с совпадающими IP"

Сообщение от Michael on 05-Июн-03, 12:11  (MSK)

а самое лучшее - разнеси подсети!
ибо пути геморроя в твоем случае неисповедимы :)

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Подсеть в большой сети с совпадающими IP"

Сообщение от Dmitry on 05-Июн-03, 12:18  (MSK)

>а самое лучшее - разнеси подсети!
они ведь и так физически разделены. или я неправильно понимаю?

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Подсеть в большой сети с совпадающими IP"

Сообщение от Dmitry on 05-Июн-03, 12:17  (MSK)

>поставь более жесткие правила, в частности, с указанием всех интерфейсов
в смысле ipchains -A forward -s 192.168.0.0/24 -i eth0 -j veto?
>запрети все остальное
а что именно все остальное? не понял.
>проверь, везде ли правильно указан адрес шлюза
да.

Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "Подсеть в большой сети с совпадающими IP"

Сообщение от Michael on 05-Июн-03, 16:37  (MSK)

>>поставь более жесткие правила, в частности, с указанием всех интерфейсов
>
>в смысле ipchains -A forward -s 192.168.0.0/24 -i eth0 -j veto?
>
>>запрети все остальное
>
>а что именно все остальное? не понял.
>
>>проверь, везде ли правильно указан адрес шлюза
>
>да.

Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "Подсеть в большой сети с совпадающими IP"

Сообщение от Michael on 05-Июн-03, 16:44  (MSK)

>>поставь более жесткие правила, в частности, с указанием всех интерфейсов
>в смысле ipchains -A forward -s 192.168.0.0/24 -i eth0 -j veto?
ну типа того...
еще можно добавить -d !192.168.0.0/24
>>запрети все остальное
>а что именно все остальное? не понял.
сделать действие по умолчанию DROP
запретить все попытки коннекта из большой сети в малую, причем с у казанием интерфейсов.
или, что еще лучше, все попытки межсетевого коннекта
>>проверь, везде ли правильно указан адрес шлюза
>да.
и в большой сети тоже?
и опять повторяю - переведи сеть на другие адреса, например на 192.168.1.0/24
иначе при ошибках или при преднамернных злоупотреблениях среди юзеров можно получить еще больше проблем...

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Подсеть в большой сети с совпадающими IP"

Сообщение от DonkeyHot on 05-Июн-03, 13:24  (MSK)

>Каким-то образом этот маршрутизатор стал валить сервер в сети 1 с адресом
>192.168.0.1
>Как это происходит и как этого избежать?
Есть предположение, что на ARP "who-knows 192.168.0.1" запросы из сети 1 маршрутизатор тоже отвечает. Ведь он действительно знает про этот адрес:-).
А что с этим делать?
Простой способ - обеспечить уникальность адреса (2)го конца маршрутизатора.
Другие способы выглядят сильно сложнее.

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Подсеть в большой сети с совпадающими IP"

Сообщение от Dmitry on 05-Июн-03, 13:30  (MSK)

>>Каким-то образом этот маршрутизатор стал валить сервер в сети 1 с >Простой способ - обеспечить уникальность адреса (2)го конца маршрутизатора.
>Другие способы выглядят сильно сложнее.
И все-таки мне хотелось бы реализовать другими способами, чтобы маршрутизатор не отвечал об адресах внутренней сети. Хотелось бы сделать вид, что в интернет ходит только одна машина, а не целая подсеть. Если я меняю адрес, то маршрутизатор все равно будет отвечать, но уже про жругой адрес, а этого бы не хотелось.

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Подсеть в большой сети с совпадающими IP"

Сообщение от DonkeyHot on 05-Июн-03, 13:49  (MSK)

>И все-таки мне хотелось бы реализовать другими способами,
Успехов. Готового ответа у меня нет.
Да пребудут с Вами обширные доки, понятные /proc/-ы и коментированые исходники:-)

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Подсеть в большой сети с совпадающими IP"

Сообщение от Mikhail on 05-Июн-03, 13:57  (MSK)

Так об этом народ и говорит...
В маленькой сетке меняется адресация (например, 172.28.х.х/32), а далее - nat (man ipchains на тему masq).

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Подсеть в большой сети с совпадающими IP"
Сообщение от Michael on 05-Июн-03, 12:09 (MSK)
>Ситуация: >Есть сеть (1), адреса в ней 192.168.0.0/24, а так же реальные. >В ней есть компьютер с двумя сетевыми карточками: на первой реальный адрес, >она подключена к сети 1, на второй 192.168.0.1, к ней подключена >маленькая сеть (2) с адресами 192.168.0.0/24. > >Компьютеры из подсети 2 ходят в интернет через этот маршрутизатор с двумя >сетевыми карточками. Реализовано это в виде >ipchains -N veto >ipchains -A forward -s 192.168.0.0/24 -j veto >ipchains -A veto -s 192.168.0.2 -j MASQ > >Проблема: >Каким-то образом этот маршрутизатор стал валить сервер в сети 1 с адресом >192.168.0.1 и с FreeBSD. При этом в логах у него указывается >мак внешней (с реальным адресом) сетевой карты маршрутизатора. > >Как это происходит и как этого избежать? имхо, тут много вариантов может быть... поставь более жесткие правила, в частности, с указанием всех интерфейсов запрети все остальное проверь, везде ли правильно указан адрес шлюза
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "Подсеть в большой сети с совпадающими IP"
	Сообщение от Michael on 05-Июн-03, 12:11 (MSK)
	а самое лучшее - разнеси подсети! ибо пути геморроя в твоем случае неисповедимы :)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "Подсеть в большой сети с совпадающими IP"
	Сообщение от Dmitry on 05-Июн-03, 12:18 (MSK)
	>а самое лучшее - разнеси подсети! они ведь и так физически разделены. или я неправильно понимаю?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "Подсеть в большой сети с совпадающими IP"
	Сообщение от Dmitry on 05-Июн-03, 12:17 (MSK)
	>поставь более жесткие правила, в частности, с указанием всех интерфейсов в смысле ipchains -A forward -s 192.168.0.0/24 -i eth0 -j veto? >запрети все остальное а что именно все остальное? не понял. >проверь, везде ли правильно указан адрес шлюза да.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "Подсеть в большой сети с совпадающими IP"
	Сообщение от Michael on 05-Июн-03, 16:37 (MSK)
	>>поставь более жесткие правила, в частности, с указанием всех интерфейсов > >в смысле ipchains -A forward -s 192.168.0.0/24 -i eth0 -j veto? > >>запрети все остальное > >а что именно все остальное? не понял. > >>проверь, везде ли правильно указан адрес шлюза > >да.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	10. "Подсеть в большой сети с совпадающими IP"
	Сообщение от Michael on 05-Июн-03, 16:44 (MSK)
	>>поставь более жесткие правила, в частности, с указанием всех интерфейсов >в смысле ipchains -A forward -s 192.168.0.0/24 -i eth0 -j veto? ну типа того... еще можно добавить -d !192.168.0.0/24 >>запрети все остальное >а что именно все остальное? не понял. сделать действие по умолчанию DROP запретить все попытки коннекта из большой сети в малую, причем с у казанием интерфейсов. или, что еще лучше, все попытки межсетевого коннекта >>проверь, везде ли правильно указан адрес шлюза >да. и в большой сети тоже? и опять повторяю - переведи сеть на другие адреса, например на 192.168.1.0/24 иначе при ошибках или при преднамернных злоупотреблениях среди юзеров можно получить еще больше проблем...
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх

5. "Подсеть в большой сети с совпадающими IP"
Сообщение от DonkeyHot on 05-Июн-03, 13:24 (MSK)
>Каким-то образом этот маршрутизатор стал валить сервер в сети 1 с адресом >192.168.0.1 >Как это происходит и как этого избежать? Есть предположение, что на ARP "who-knows 192.168.0.1" запросы из сети 1 маршрутизатор тоже отвечает. Ведь он действительно знает про этот адрес:-). А что с этим делать? Простой способ - обеспечить уникальность адреса (2)го конца маршрутизатора. Другие способы выглядят сильно сложнее.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "Подсеть в большой сети с совпадающими IP"
	Сообщение от Dmitry on 05-Июн-03, 13:30 (MSK)
	>>Каким-то образом этот маршрутизатор стал валить сервер в сети 1 с >Простой способ - обеспечить уникальность адреса (2)го конца маршрутизатора. >Другие способы выглядят сильно сложнее. И все-таки мне хотелось бы реализовать другими способами, чтобы маршрутизатор не отвечал об адресах внутренней сети. Хотелось бы сделать вид, что в интернет ходит только одна машина, а не целая подсеть. Если я меняю адрес, то маршрутизатор все равно будет отвечать, но уже про жругой адрес, а этого бы не хотелось.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "Подсеть в большой сети с совпадающими IP"
	Сообщение от DonkeyHot on 05-Июн-03, 13:49 (MSK)
	>И все-таки мне хотелось бы реализовать другими способами, Успехов. Готового ответа у меня нет. Да пребудут с Вами обширные доки, понятные /proc/-ы и коментированые исходники:-)
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "Подсеть в большой сети с совпадающими IP"
	Сообщение от Mikhail on 05-Июн-03, 13:57 (MSK)
	Так об этом народ и говорит... В маленькой сетке меняется адресация (например, 172.28.х.х/32), а далее - nat (man ipchains на тему masq).
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх