[Eperkutyus]

akkor Kroozo, vagy Friczy dzsinnek segítségét kérem :Ð

..bárki .. csak mondjatok vmi okosat ..

Szerkesztette: Eperkutyus 2005. 12. 06. 23:59 -kor

[Eperkutyus]

senki?  

[melon]

Idézet: Jahno - Dátum: 2005. dec. 6., kedd - 20:15

Azt én tudom, de akkor állítsa fixre. DHCPnek nem kellene fél napokat állnia jahh, én ilyenkor fogok valami ultragagyi routert, aztán DHCPzzen kedvére, addig tudok szögelni.

Na de Jahno, nem csak dinamikus címekért használunk dhcpt, hanem azért is, hogy ha változás van, akkor ne kelljen végigfutni a gépeken. Ugye ilyenkor szokás, hogy mac cím alapján osztunk, mindig ua. címet kapják a gépek, de ha át kell írni, akkor csak egy helyen kell... De mit beszélek én neked errõl, tudod te ezt nagyon jól...

[melon]

Idézet: Eperkutyus - Dátum: 2005. dec. 6., kedd - 22:56

na, újabb kérdés szakik:


adott egy linuxos gép. natol.

eth0 a net fele, eth1 a belsõ hálóra.

eth0 publikus ip nyilván.

- a belsõ háló ip-je 192.168.1.x lenne (kevesebb mint 254 gép)
- szeretnék egy DMZ-t, ahová pakolom a DHCP szervert a helyi háló számára, mail szerver, apache, minden babra .. és azért DMZ, mert így tartom normálisnak, hogy a belsõ háló ellen is védve legyen kicsit, ki tudja mikor melyik windows-os gép hogyan trójázódik be vagy száll el stb.. értitek.

A gondom:
- eth0 ip-je világos, "iface eth0 inet static" .., ez adott.
- eth1 ip-je mi legyen ? õ lesz a gateway ip a 192.168.1.x -es belsõhálós gépek számára.
- DMZ számára mi lesz a gateway ? õk hogy látnak ki ?

A cél tehát, hogy tulképpen két külön alhálóm legyen, egy sokgépes júzeres, és egy kis szerveres szegmens. Mindkettõ lássa a routergép eth1-ét, nyilván, hiszen mindkettõnek ki kell látnia a külvilágra (nat + proxy). Viszont a két háló gépei ne tudják egymást elérni - ez a cél.

A DHCP úgy tudom, layer 2-3 valahol, így az átmegy (elvileg) nem ? még akkor is, ha más a subnet.

De (és ezek a kérdések !!!!):

- milyen subnet-et állítsak be a sokgépes háló gépeinek a dhcp-ben (véletlenszerûen menne a kiosztás). ?
- milyen ip-t és subnet mask-ot állítsak be eth1-re interfaces-ben ?
- milyen ip-ket és subnet mask-ot állítsak be a szintén eth1-re nézõ DMZ-s gépekhez dhcp-ben (kiosztás MAC alapján) ?



Menne az, hogy eth1-nek 192.168.0.254-et adok, alhálózati maszk pedig 255.255.0.0 ? Belsõ hálós gép lenne 192.168.1.x -> 255.255.255.0 ? Akkor nemigen látja server eth1-et, így van ? 255.255.0.0 ? Így meg látja majd a DMZ-t is, nem ?

DMZ-k ? Õk lennének a 192.168.0.x tartomány (ebbõl a 254-es gép maga a router eth1-e). Nekik subnet mask ?






Vagy egyszerûbb egy eth2 a DMZ-nek, és sima routing / szûrõ cumók ? Hálókártya van, PCI hely van bûven !


Valaki homályosítson már fel pls, tele vagyok könyvekkel, halálra olvastam a tudományt, de így igazából éles gyakorlat nélkül húzós móka átlátni ..

Szerintem dhcp szervert ne tegyél dmz-re, a szervereknek amúgy is jobb, ha fix címet adsz (gondolom nem lesz sok szervered), ha lehal a dhcp, a dmz még megy.

A két szegmenshez a legegyszerûbb a további hálókártya.
lan: 192.168.0/24
dmz: 172.16.0.1/29 (és akkor könnyen megkülönbözteted

255.255.0.0 alhálózati maszkot ne adj meg, bolondság. Minél kisebb szegmenseid vannak, annál kevesebb csomag ütközhet.

[szaki]

Idézet: Eperkutyus - Dátum: 2005. dec. 6., kedd - 8:33

gyerekek, adott egy központi gateway, dhcp-n keresztül ip címet oszt ki egy naaagy nagy tartománynak + routing ilyesmik.

ha ez kiesik, a lyúzerek szívnak.

hogy lehet ezt backup-olni ? meg tudom azt oldani, hogy a kiesik ez a szerver, akkor ennek a (nagyjából) pontos másolata, egy másik szerver automatán átvegye a funkcióját ?


switch-ben ez konfigurálható lenne, gondolom.

de a kiesésen nem csak arra gondolok, hogy van-e ping vagy nincsen, vagy hálózati kapcsolat.


hanem ha mondjuk elszáll valami, vagy betörnek, lelövik dhcp-t, valami ilyesmi.

van erre megoldás ?

Egy kicsit utana neztem es erdeklodtem a CISCO-s ismeros mondta van ilyen lehetoseg de nem mindegyik eszkozuk tudja illetve nalunk nincs. Masik megoldas ket szerver felalitasa az egyik primari a masik szekurandi ha kiesik valamelyik a masik dolgozik tovabb helyette okos LInuxos ismeros azt allitja megoldhato gond nelkul ket PI -es gepen csak DHCP-re. Trukkel megoldhato lenne hogy figyeli es x ido szeletenkent a routertol megujatast ker az ip cimere ha nem kap megujitast atveszi a dhcp kiosztast de automatice vissza adni nem lehet. Vagyis ha kihuzza valaki a routert es vissza dugja osszefossa magat teljesen a halozat.

[Eperkutyus]

Idézet: melon - Dátum: 2005. dec. 7., szerda - 8:09

Szerintem dhcp szervert ne tegyél dmz-re, a szervereknek amúgy is jobb, ha fix címet adsz (gondolom nem lesz sok szervered), ha lehal a dhcp, a dmz még megy.

A két szegmenshez a legegyszerûbb a további hálókártya.
lan: 192.168.0/24
dmz: 172.16.0.1/29 (és akkor könnyen megkülönbözteted

255.255.0.0 alhálózati maszkot ne adj meg, bolondság. Minél kisebb szegmenseid vannak, annál kevesebb csomag ütközhet.

atyaég, ez a 172.16.0.1/29 hogy jött ki ? milyen számok ezek ? Valszeg jók, de nekem már a fél C-osztály megértése is nehézkesen ment, mikor magyarázták, de ez ??? ûû..  :confused:

Miért pont ez az ip, és miért pont /29  ? Csak röviden elég, ha megy. Egyébként totál elhiszem, hogy mûködhet, inkább elméleti szinten szeretném tudni, hogy jött ki ez a szép szám

mi lesz a subnet mask ezeknél ?

megvan amúgy a 3 darab 3Com kártya, lököm bele a gépbe..

[melon]

Csak a hasamra ütöttem, a 172.16.0.1 a B osztályú címtartomány elsõ címe, a /29 jelöli az alhálózati maszkot ugye, ami talán közérthetõbb formában 255.255.255.248. Igazából lehetne 0 is a vége, azaz /24-es hálózat, mindegy. A /29-es alhálózaton max. 6 hostod lehet, a broadcast cím így 172.16.0.7 lesz, gondolom 5 szervernek (+1 átjáró) elég is.

Azért mondtam pl. ezt a címet, mert így már ránézésre is látszik, hogy a cím nem a 192.168.x.x lanod címe, és (kezdõként) talán könnyebb megkülönböztetni. Valójában lehetne 192.168.1.0/24 is, vagy 10.0.0.0/24 is, tökmindegy.

Ahogy fentebb írtam, a /<szám> a subnet mask, ha nehezen megy a számolgatás, javaslom a Subnet Calculator a barátod.

[Red]

Idézet: Eperkutyus - Dátum: 2005. dec. 6., kedd - 9:33

gyerekek, adott egy központi gateway, dhcp-n keresztül ip címet oszt ki egy naaagy nagy tartománynak + routing ilyesmik.

ha ez kiesik, a lyúzerek szívnak.

hogy lehet ezt backup-olni ? meg tudom azt oldani, hogy a kiesik ez a szerver, akkor ennek a (nagyjából) pontos másolata, egy másik szerver automatán átvegye a funkcióját ?

udv!

ha esetleg cisco-ban gondolkodsz a def. gateway problemat megtudod oldani hspr vagy glbp-vel (cisco.com-om csomo info van rola).

a dhcp-t meg egy masodlagos szerverrel.

ha kell, ciscoban tudok egy kicsit segiteni.

[Eperkutyus]

És szerintetek ez így lehet életképes ?

Magyarul az, hogy a router linux gép eth0 portja az optikai internet, eth1 a belsõ háló. eth2 is van, az a DMZ egyébként, ennyit sántít. A cél az, hogy a router eth1-ének másik végén egy switch lóg, és a switch-be vannak kötve a helyi háló gépei.

A cégnek ki van osztva 6 publikus ip, amivel garázdálkodhat. Egyik magáé a router gépé (eth0). A következõ public ip beállítható a helyi hálózat egyik gépének ? Szóval hogy õ csak fizikailag kapcsolódjon az eth1-es switch-re mint a többiek, de egyébként totál külön legyen a többitõl, hiszen bárki által direktben pingelhetõ a nyilvános ip-jével.

Csináltam egy eth2-t nélkülözõ béna rajzot, nagyjából errõl lenne szó. (Itthon nincsen OpenOffice Draw-om )

[kroozo]

Reggelt!

Bocs, h csak most, de tegnap már aludtam

Szóval, ha szét akarsz szeparálni hálókat, akkor elsõ körben is nem ártana megoldani, hogy layer2 szinten el legyenek szeparálva, különben szépen szólva, adtál a szarnak egy pofont. Ez ugye vagy külön switcheket, vagy pedig külön vlanokat jelent, ha tud ilyent a switched. Ezen vlanok között az átjárást a router végzi, vagyis neki minden hálózatba kell lógjon lába. Vagyis annyi if, amennyi vlan. Ha a sw tud vlant, és tud olyat is, hogy egy port több vlannak legyen a része, akkor oda elég egy fizikai interface, amin végtelen számú logikai ifet lehet csinálni.

Nomost, címek. A legegyszerûbb megoldás, ha az összes alháló külön címeket kap, egyszerûség kedvéért mondjuk C osztályokat. Tehát pl:
10.1.1.0/24
10.1.2.0/24
10.1.3.0/24
....
Minden router mondjuk az elsõ cím, tehát 10.1.1.1, 2.1, 3.1 ... az a gw, azt csók. A publikus címeket ha mákod van, akkor bele tudod préselni egy subnetbe, ha nem akkor vagy, mind1ik külön vlan + külön if, vagy (ez egy picit jobban gányolás) nem külön vlan, csak külön logikai if meg route.

DHCP meg szépen osszon MAC alapján, ha kell akkor adok vmi példaconf szerût, de az imho menni fog...

[Eperkutyus]

vlan-t nem tudnak ezek, csak kapcsolgatnak.. úgyhogy ez kilõve. melyik a legolcsóbb switch, ami már vlan-t is tud ? nem fontos hogy sziszkó legyen, és 4 port elég (bár lehet, nem lesz ilyen..)


a 3 interfész most:

eth0 az internet fele configolva a backbone adatai alapján

auto eth1
iface eth1 inet static
        address 192.168.1.254
        netmask 255.255.255.0
        network 192.168.1.0
        broadcast 192.168.1.255
#    gateway 192.168.1.254
        # dns-* options are implemented by the resolvconf package, if installed
        dns-nameservers 127.0.0.1
        dns-search ...

auto eth2
iface eth2 inet static
        address 192.168.2.254
        netmask 255.255.255.0
        network 192.168.2.0
        broadcast 192.168.2.255
#    gateway 192.168.2.254
        # dns-* options are implemented by the resolvconf package, if installed
        dns-nameservers 127.0.0.1
        dns-search ...


A gateway-cuccokat kiszedtem eth1 és eth2 configjából, nem volt eth0-on keresztül pingem semerre, ahogy felhúztam õket. Így most oké minden.

Beállítom eth1 és eth2-re a natot + tûzfalat és meglássuk mi lesz..

Idézet

vagy (ez egy picit jobban gányolás) nem külön vlan, csak külön logikai if meg route.

Errõl tudsz mesélni ? Ez marad, vlan-t ezek a kis 8e Ft-os kék fekete júzer switch-ek nem ismerik .. Úgyhogy gányolnom kell. :Ð


Szal létrehozok az egyik belsõhálós ipre (amit public-nak szeretnék tenni) egy logikai interfészt a szerveren, aminek megadom a publikus ip maszk szubnet stb. adatokat, jól értem ? (hogy kötöm össze a belsõ hálós gépet az ip-vel, ami public lenne? mac alapján?)

És aztán route-olok. Elvileg. Yepp ? A lényeg, hogy kintrõl totál elérhetõ legyen, összes portja látszódjon stb.. szal ez. A géprõl voice over ip cumó is megy (SIP protokoll), gondolom, mindez túléli a mókát. (Majd látjuk, ha nem) :Ð

Továbbá ha már routing megy, és a gép kártyájának belsõhálós az ip-je, ettõl még kifele engednem kell, tehát natoljak is, így van ?


DHCP-vel nincsen gond, most ütöm össze addig, egyszerû random kiosztás lesz a workstation-öknek oszt jónapot, van itt vagy 10 gép, nemsok.

[kroozo]

Idézet: Eperkutyus - Dátum: 2005. dec. 8., csütörtök - 9:31

vlan-t nem tudnak ezek, csak kapcsolgatnak.. úgyhogy ez kilõve. melyik a legolcsóbb switch, ami már vlan-t is tud ? nem fontos hogy sziszkó legyen, és 4 port elég (bár lehet, nem lesz ilyen..)


a 3 interfész most:

eth0 az internet fele configolva a backbone adatai alapján

auto eth1
iface eth1 inet static
        address 192.168.1.254
        netmask 255.255.255.0
        network 192.168.1.0
        broadcast 192.168.1.255
#       gateway 192.168.1.254
        # dns-* options are implemented by the resolvconf package, if installed
        dns-nameservers 127.0.0.1
        dns-search ...

auto eth2
iface eth2 inet static
        address 192.168.2.254
        netmask 255.255.255.0
        network 192.168.2.0
        broadcast 192.168.2.255
#       gateway 192.168.2.254
        # dns-* options are implemented by the resolvconf package, if installed
        dns-nameservers 127.0.0.1
        dns-search ...


A gateway-cuccokat kiszedtem eth1 és eth2 configjából, nem volt eth0-on keresztül pingem semerre, ahogy felhúztam õket. Így most oké minden.

Beállítom eth1 és eth2-re a natot + tûzfalat és meglássuk mi lesz..



Errõl tudsz mesélni ? Ez marad, vlan-t ezek a kis 8e Ft-os kék fekete júzer switch-ek nem ismerik .. Úgyhogy gányolnom kell. :Ð


Szal létrehozok az egyik belsõhálós ipre (amit public-nak szeretnék tenni) egy logikai interfészt a szerveren, aminek megadom a publikus ip maszk szubnet stb. adatokat, jól értem ? (hogy kötöm össze a belsõ hálós gépet az ip-vel, ami public lenne? mac alapján?)

És aztán route-olok. Elvileg. Yepp ? A lényeg, hogy kintrõl totál elérhetõ legyen, összes portja látszódjon stb.. szal ez. A géprõl voice over ip cumó is megy (SIP protokoll), gondolom, mindez túléli a mókát. (Majd látjuk, ha nem) :Ð

Továbbá ha már routing megy, és a gép kártyájának belsõhálós az ip-je, ettõl még kifele engednem kell, tehát natoljak is, így van ?


DHCP-vel nincsen gond, most ütöm össze addig, egyszerû random kiosztás lesz a workstation-öknek oszt jónapot, van itt vagy 10 gép, nemsok.

Persze, h nem volt jó, mert gwnek a netes ip kell, hamár. Úgy azt mondtad neki, hogy mindent magán keresztül küldjön

Picit bõvebben? Gyak annyi, h fogod a gépeket, bedugod õket egy switchbe, melléjük egyet a routerbõl, beállítgatod a publikus ip címeket, aztán adsz egy címet adsz a router ifnek, mondjuk belsõ hálósat, ezt adod meg gwnek, és linux route táblájába meg explicit felveszed õket, h azon az interfacen lógnak... Asszem így jó lesz.

[Eperkutyus]

állat. esek neki.

viszont elõtte egy kis problémába ütköztem:

-192.168.1.254 a linux gép eth1-e
- 192.168.2.254 a linux gép eth2-je

kliens win gépet beállítottam 192.168.2.10-re (dhcp, most épp ezt kapta)

és ami érdekes, hogy tudom pingelni errõl nem csak 192.168.2.254-et, hanem 1.254-et is.

amit nem szeretnék.

Ok, daraboljuk fel akkor. Legyen az, hogy:

- 192.168.1.0-128: subnet 255.255.255.0 -> eth1 (szerverek)
- 192.168.1.129-255: subnet 255.255.255.128 -> eth2 (gépek)

Magyarul NEM AKAROM HOGY LÁSSÁK EGYMÁST a gépek és a szerverek. Traffic control + tûzfal szabályok miatt szeretném ide-oda továbbítgatással elérhetõvé tenni a szervereket a kliensek számára.

Ez így talán mûxene, azt hiszem. Viszont én úgy szeretném, hogy szép legyen :Ð hogy a linux eth1-e ami az 1.x -es hálózat router-e maradjon ami, de az eth2 a klienses gépeké 2.x tartomány legyen.

Szal szerverek 192.168.1.x -be, kliensek 192.168.2.x-be, egymás közt nemátjárni nemlátni se semmi, és ámen.

Hogy ügyeskedjek?

[kroozo]

Idézet: Eperkutyus - Dátum: 2005. dec. 8., csütörtök - 10:29

állat. esek neki.

viszont elõtte egy kis problémába ütköztem:

-192.168.1.254 a linux gép eth1-e
- 192.168.2.254 a linux gép eth2-je

kliens win gépet beállítottam 192.168.2.10-re (dhcp, most épp ezt kapta)

és ami érdekes, hogy tudom pingelni errõl nem csak 192.168.2.254-et, hanem 1.254-et is.

amit nem szeretnék.

Ok, daraboljuk fel akkor. Legyen az, hogy:

- 192.168.1.0-128: subnet 255.255.255.0 -> eth1 (szerverek)
- 192.168.1.129-255: subnet 255.255.255.128 -> eth2 (gépek)

Magyarul NEM AKAROM HOGY LÁSSÁK EGYMÁST a gépek és a szerverek. Traffic control + tûzfal szabályok miatt szeretném ide-oda továbbítgatással elérhetõvé tenni a szervereket a kliensek számára.

Ez így talán mûxene, azt hiszem. Viszont én úgy szeretném, hogy szép legyen :Ð hogy a linux eth1-e ami az 1.x -es hálózat router-e maradjon ami, de az eth2 a klienses gépeké 2.x tartomány legyen.

Szal szerverek 192.168.1.x -be, kliensek 192.168.2.x-be, egymás közt nemátjárni nemlátni se semmi, és ámen.

Hogy ügyeskedjek?

Azzal amit írtál semmi nem változik, csak nem /24 hanem /25 alhálókat használsz.

Persze, h tudod pingelni. Csak nem közvetlen, hanem a routeren keresztül.

Vagyis iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.2.0/24 -j DROP
vagy hasonló kell neked

[Eperkutyus]

van itt egy ilyen, ez segít?

http://www.subnet-calculator.com

(fentebb is írta vki már, sztem baba.)

[Eperkutyus]

Idézet: kroozo - Dátum: 2005. dec. 8., csütörtök - 9:51

Azzal amit írtál semmi nem változik, csak nem /24 hanem /25 alhálókat használsz.

Persze, h tudod pingelni. Csak nem közvetlen, hanem a routeren keresztül.

Vagyis iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.2.0/24 -j DROP
vagy hasonló kell neked

jaaaaaaaaaa...


magyarul hagyhatom így ahogy most van, 192.168. 2 . 10-rõl jelenleg 192.168. 2 .254 (router)-en keresztül pingelem 192.168. 1 .254 (router) interfészt ?



Én gondoltam erre az iptables dologra, hogy forward-ba belenyúlni, de nem gondoltam volna, hogy igazam lesz ..

ZSÍR ! Nézem máris

És köszi Neked is a sok helpet, rendes Tõled..

[kroozo]

Idézet: Eperkutyus - Dátum: 2005. dec. 8., csütörtök - 10:51

van itt egy ilyen, ez segít?

http://www.subnet-calculator.com

(fentebb is írta vki már, sztem baba.)

Ennyi még megy fejben is

Egyébként meg ipcalcot használok

[Eperkutyus]

á nem jó, 2.10-rõl még mindig tom pingelni 1.254-et .. (maradt az eredeti felállás, tehát eth1 -> 192.168.1.0/255.255.255.0 és 192.168.2.0/255.255.255.0)

[Eperkutyus]

további érdekes jelenség :

amikor ide jövök írni Nektek, adsl-lel jövök fel.

ilyenkor ugye nekem hálókártyám ip-je 2.10-es, 2.254-et tudom is pingelni, de 1.254-et már nem (és ez lenne a cél).

na valami nagy huncutság van itt, valami routing bigyó ..

[kroozo]

Idézet: Eperkutyus - Dátum: 2005. dec. 8., csütörtök - 11:14

további érdekes jelenség :

amikor ide jövök írni Nektek, adsl-lel jövök fel.

ilyenkor ugye nekem hálókártyám ip-je 2.10-es, 2.254-et tudom is pingelni, de 1.254-et már nem (és ez lenne a cél).

na valami nagy huncutság van itt, valami routing bigyó ..

ifconfig -a
route -n
iptables -L -n -v

Kimeneteket szeretnék látni, ha lehetne