Простой ( элементарный ) вопрос по маршрутизации в NW6.5

[Сергей.М.]

Андрей посмотри что Владимир написал, я как то упустил из виду, на 2 разных интерфейса ты пытаешся повесить адреса из одной подсети. Я честно говоря 6.х не юзал, но при таких экспериментах 4.х и 5.х меня в таком случаи честно посылали . В любом случаи если ты хочеш поставить сервер с ВМ в качестве маршрутизатора между LAN и провайдером придется либо бить на подсети, либо просить небольшую подсеть для организации связи ВМ----GW.

Таким образом должно получится так:

LAN---10.64.192.0/22----BM----new-net----GW.

Мне кажется что это нормальный вариант в вашем случаи. Сети то у вас не PI и даже не PA.

[Мещеряков Андрей]

Тем не менее, придется констатировать: по существу, из каких соображений и в каких терминах писать маршруты для NetWare - подчеркиваю, NetWare :P , а не *nix -ов, для которых прорва книг, никто так и не написал Неужели Novell так и не издала ни одного мануала на эту пикантную тему ?

[Андрей Тр. aka RH]

Ну как бы понятно, что они формально не из одной подсети ( адреса для интерфейсов ВМ в примере были написаны от балды, честно говоря ). Проблема еще в том, что а) хочется в имеющейся LAN по возможности сохранить адресацию из 10.64.192.0 и б) получить что-то новое для второй подсети, между ВМ и gateway провайдера не получится. Означает ли это, что я слишком многого хочу или есть еще варианты ?

Сергей.М.

Кстати, что означает /22 в 10.64.192.0/22 ?

[Андрей Троценко]

Кстати, что означает /22 в 10.64.192.0/22 ?

22 бита отведены под адрес сети - аналогично маске 255.255.252.0

[Сергей.М.]

Тем не менее, придется констатировать: по существу, из каких соображений и в каких терминах писать маршруты для NetWare - подчеркиваю, NetWare :P , а не *nix -ов, для которых прорва книг, никто так и не написал Неужели Novell так и не издала ни одного мануала на эту пикантную тему ?

Андрей, а маршрутизация это вообще изначально была не прерогатива операционных систем . Это со временем, когда последнии стали совершенствоваться, поддерживать большее количество функций, появилась возможность использовать сервера еще и как роутеры. Поэтому скорее для понимания данного механизма лучше штудировать протокол TCP/IP и специальные мануалы по маршрутизации в IP сетях. Когда наступит четкое понимание работы данного процесса, плюс знание динамических протоколов маршрутизации, то соответственно инженер сможет настроить данную задачю средствами предоставляемыми ему ОС.

[Сергей.М.]

Ну как бы понятно, что они формально не из одной подсети ( адреса для интерфейсов ВМ в примере были написаны от балды, честно говоря ). Проблема еще в том, что а) хочется в имеющейся LAN по возможности сохранить адресацию из 10.64.192.0 и б) получить что-то новое для второй подсети, между ВМ и gateway провайдера не получится. Означает ли это, что я слишком многого хочу или есть еще варианты ?

а. Без проблем в предложеной мной выше схеме.
б. Да емое, что ж у вас за провайдер, который не в состоянии дополнительно использовать небольшую подсеть из пула частных адресов. Их же море!! Если вы с ним подключены эзернетом то нужна то подсеть на 8 адресов, если по PPP то и того меньше - 4

[Сергей.М.]

Сергей.М.

Кстати, что означает /22 в 10.64.192.0/22 ?

Да, я вам наврал , у Вас 10.64.192.0/23 = 10.64.192.0 255.255.254.0

[Андрей Тр. aka RH]

а. Без проблем в предложеной мной выше схеме.
б. Да емое, что ж у вас за провайдер, который не в состоянии дополнительно использовать небольшую подсеть из пула частных адресов. Их же море!! Если вы с ним подключены эзернетом то нужна то подсеть на 8 адресов, если по PPP то и того меньше - 4

Большая корпоративная сеть, в которой туча таких вот небольших подсеток, пров соответствующий ( это на уровне транспорта, что касается подсеток, маршрутизаторов, АДСЛ и пр. - для Инета отдельные провайдеры ). Менять что-то для одной из тысяч подобных сетей они просто не станут.

Тогда такой вопрос к общественности - с моим CIDR'ом вариант ВМ с одним интерфейсом ( как предложил Иван ) тоже не проходит ? То есть ежели ВМ использовать просто как прокси, ведь тогда же маршрутизации как таковой не происходит .. должно по идее работать ?

[Иван Левшин aka Ivan L.]

Не понимаю - зачем городить огород и выкупать сеть? Если мы делаем ДМЗ и в нее помещаем сервер с БМ - вопросов нет. Если БМ стоит внутри сетки Андрея - какой смысл? Он же не писал проде, что собирается делать ДМЗ? Или я что-то упустил?
БМ с двумя интерфейсами можно спокойно ставить и на границу. На одном интерфейсе приватный адрес, на другом - публичный. Поднимаем НАТ на публичном, настраиваем файрволл (ИМХО, кстати - filtcfg настраивается проще, чем на унихе... Не знаю - может, привычка... Хотя, говорят - проблемы с ним есть. В частности - со statefull-фильтрами) - и по самые уши в шоколаде .

Андрей - определись, плз - что же тебе нужно. Если нужна ДМЗ с некоторым числом публично доступных сервисов - да, надо ставить дополнительные файрволлы. Если нет - просто ставим на выходе БМ с двумя интерфейсами и настраиваем файрволл на нем. У меня схема, которую я описал, используется просто в силу сложившихся исторически обстоятельств.

[Владимир Горяев]

В обчем так... см TID10069353
Прокси и без "IP Packet Forwarding" заработает.
Или, если очень нужно "IP Packet Forwarding" - в таблице маршр. прописывать кучу сеток /24.

[Андрей Тр. aka RH]

БМ с двумя интерфейсами можно спокойно ставить и на границу. На одном интерфейсе приватный адрес, на другом - публичный. Поднимаем НАТ на публичном, настраиваем файрволл. .. Если нужна ДМЗ с некоторым числом публично доступных сервисов - да, надо ставить дополнительные файрволлы. Если нет - просто ставим на выходе БМ с двумя интерфейсами и настраиваем файрволл на нем.

Иван, ты не читаешь про мои "исторические обстоятельства". Писал же, что внутри мне хочется оставить адреса как есть - т.е. НАТ тут вроде ни при чем. ДМЗ мне как таковая не нужна, меня пров неплохо прикрывает, в т.ч. и файрволом, и мы и так уже все за одним большим НАТом.

Что нужно я писал в самом начале - нужно считать трафик пользователей и контролировать их бюджеты. Плюс заодно хотелось блокировать "левый" трафик особо умных, но тут без двух интерфейсов не обойтись, как я понимаю. А без добавления второй, отличной от моей сети, маршрутизацию между ними не настроить - впрочем, как не настроить ее и с моей теперешней адресацией по причине CIDR'a, который "Новелл не держит". Мораль - поставить ВМ внутри, с одним интерфейсом ради прокси, т.к. без перетряски всей адресации в двумя не завести .. а простой файер снаружи поставить на Линуксе и дропать все, что не от ВМ. Хотя нет, хрен получится - менять адресацию все равно же придется. Так что, похоже, без вариантов ? С "левым" трафиком бороться на клиентах.

Владимир Горяев

Я этот ТИД уже видел, спасибо. Раньше не знал, что у Новелла проблемы с CIDRом.

[Иван Левшин aka Ivan L.]

Блин, запутался совсем...
Значит, так... Вариант номер раз. Ставим на выходе из своей сети (сетей) бордюр с двумя интерфейсами. Настраиваем, дальше либо поднимаем НАТ и файрволл (хотя бы для того, чтобы левотура не перлась неизвестно куда), либо пишем Default Route для этой машины. По идее, маршрутизация не нужна совсем.
Вариант два - внутри сетки ставим сервак с одним интерфейсами. На шлюзе (своем или прова) прописываем на его адрес разрешающие правила, остальные - лесом.

Кстати, насчет CIDR. Вроде его поддержка была заявлена еще в стеке для 5.1 где-то года два тому. До сих пор не сделали? Странно как-то... Сам не пользую - потому не знаю

[Сергей.М.]

LAN ( адреса по DHCP, серверы, в т.ч. прокси, свичи и пр. ) - свич2 10.64.193.5 - свич1 10.64.193.2 - роутер 10.64.193.1 - "Инет"

Андрей, в этой схеме роутер 10.64.193.1 вами управляется?

[Владимир Горяев]

Кстати, насчет CIDR. Вроде его поддержка была заявлена еще в стеке для 5.1 где-то года два тому. До сих пор не сделали? Странно как-то... Сам не пользую - потому не знаю

Да сделали, тока не маршрутит... http://novell.org.ru/forum/viewtopic.php?t=2232

[Иван Левшин aka Ivan L.]

Владимир Горяев - спасибо, обязательно ознакомлюсь