|
| TDC kant router. Firewall. 2 subnet på WAN~ Fra : Niels Kristian Jense~ |
Dato : 22-06-08 13:45 |
|
Hej,
jeg skal snart have en (TDC) forbindelse til en firewall - og så kommer
IP'erne i to subnet. TDC kalder det for en "kant-router".
Et subnet hvor gateway findes (et /31 sub net) samt et subnet, hvor de
brugbare IP'er ligger (et /28 sub net) - uden gateway.
Hvordan laver jeg det i Ubuntu?
Jeg anvender Shorewall med proxy-arp som firewall i den nuværende
konfiguration, hvor gateway'en ligger som en adresse i subnettet.
Mvh. NKJensen
| |
Kent Friis (22-06-2008)
| Kommentar Fra : Kent Friis |
Dato : 22-06-08 13:58 |
|
Den 22 Jun 2008 12:45:14 GMT skrev Niels Kristian Jensen:
> Hej,
>
> jeg skal snart have en (TDC) forbindelse til en firewall - og så kommer
> IP'erne i to subnet. TDC kalder det for en "kant-router".
>
> Et subnet hvor gateway findes (et /31 sub net) samt et subnet,
Et /31? Det er vel en /30 det drejer sig om? En /31 indeholder to
adresser, hvoraf den ene er netværks adressen, og den anden er
broadcast-adressen. Der er altså ikke plads til nogen hosts.
> hvor de
> brugbare IP'er ligger (et /28 sub net) - uden gateway.
>
> Hvordan laver jeg det i Ubuntu?
Det ene subnet på det ene netkort, det andet subnet på det andet
netkort, default gateway peger på gateway'en, og enable ip forwarding.
Lige ud ad landevejen.
Mvh
Kent
--
Hvis en sort kat går over vejen foran en bil, betyder det ulykke
.... for katten.
| |
Klaus Ellegaard (22-06-2008)
| Kommentar Fra : Klaus Ellegaard |
Dato : 22-06-08 14:03 |
|
Kent Friis <nospam@nospam.invalid> writes:
>Et /31? Det er vel en /30 det drejer sig om? En /31 indeholder to
>adresser, hvoraf den ene er netværks adressen, og den anden er
>broadcast-adressen. Der er altså ikke plads til nogen hosts.
For at spare på IPv4-resurserne dropper man network- og broadcast-
adresserne på point-to-point-links. Se RFC3021.
Mvh.
Klaus.
| |
Kent Friis (22-06-2008)
| Kommentar Fra : Kent Friis |
Dato : 22-06-08 14:11 |
|
Den Sun, 22 Jun 2008 13:02:59 +0000 (UTC) skrev Klaus Ellegaard:
> Kent Friis <nospam@nospam.invalid> writes:
>
>>Et /31? Det er vel en /30 det drejer sig om? En /31 indeholder to
>>adresser, hvoraf den ene er netværks adressen, og den anden er
>>broadcast-adressen. Der er altså ikke plads til nogen hosts.
>
> For at spare på IPv4-resurserne dropper man network- og broadcast-
> adresserne på point-to-point-links. Se RFC3021.
Ok, den havde jeg ikke hørt om. Sidst jeg havde TDC, brugte de netop
en /30.
I så fald ville jeg nok sætte Linux'en op med "pointopoint", selvom
en /31 er en mellemting mellem et rigtigt subnet og en "pointopoint"
forbindelse (/31 kræver ip-numrene ligger ved siden af hinanden,
det gør "pointopoint" ikke).
Altså:
ifconfig eth1 <minip> pointopoint <gatewayip>
(Det kan så undre at man ikke har valgt den løsning i rfc3021 i
stedet for /31, da "pointopoint" opsætningen kræver halvt så mange
ip-numre plus en (kun en IP er nødvendig i udbyderens ende)).
Mvh
Kent
--
Hvis en sort kat går over vejen foran en bil, betyder det ulykke
.... for katten.
| |
Niels Kristian Jense~ (24-06-2008)
| Kommentar Fra : Niels Kristian Jense~ |
Dato : 24-06-08 20:41 |
|
Kent Friis <nospam@nospam.invalid> wrote in
news:485e4c57$0$90267$14726298@news.sunsite.dk:
>> jeg skal snart have en (TDC) forbindelse til en firewall - og så
>> kommer IP'erne i to subnet. TDC kalder det for en "kant-router".
>>
>> Et subnet hvor gateway findes (et /31 sub net) samt et subnet,
>
> Et /31? Det er vel en /30 det drejer sig om?
Ups! Jeg skrev forkert. Det er et /30 net (med netmasken
255.255.255.252) plus et /28 net med de brugbare IP'er i.
>> hvor de
>> brugbare IP'er ligger (et /28 sub net) - uden gateway.
>>
>> Hvordan laver jeg det i Ubuntu?
>
> Det ene subnet på det ene netkort, det andet subnet på det andet
> netkort, default gateway peger på gateway'en, og enable ip forwarding.
>
> Lige ud ad landevejen.
I det nuværende setup er eth0 wan netkort. eth1 er (dhcp) lan med div.
kontormaskiner, eth2 er til DMZ'en med serverne i (statiske IP'er).
Shorewall laver NAT til eth1 og proxy-arp til eth2.
Jeg skal vel (som nu) have et subnet som bla. indeholder gateway'ens IP
defineret på eth0. Og dertil endnu et subnet - på eth0 - som indeholder
de brugbare IP'er for at proxy-arp kan virke?
Eller mener du at jeg udelukkende skal definere det lille subnet /30 med
gateway ip'et på eth0 og så definere /28 subnettet på eth2 ? I så fald
kan jeg ikke se at proxy-arp kan virke?
Mvh. NKJensen
| |
Jonathan Stein (25-06-2008)
| Kommentar Fra : Jonathan Stein |
Dato : 25-06-08 12:28 |
|
Niels Kristian Jensen skrev:
> I det nuværende setup er eth0 wan netkort. eth1 er (dhcp) lan med div.
> kontormaskiner, eth2 er til DMZ'en med serverne i (statiske IP'er).
Husk KK(*), som fysisk sidder på samme netværk som eth0. Af hensyn til
dem, bør vi nok beholde proxy-arp, med mindre KK flyttes ind på et andet
interface.
Firewall'en skal desuden have den gamle default gateway IP i /28 nettet.
Firewall'en skal så selv have TDCs router som default gateway.
(*) KK er en anden firewall, som NAT'er én IP i /28 nettet til en række
brugere.
M.v.h.
Jonathan
--
Er din email vigtig? Er du træt af, at din hjemmeside er nede?
Stabilt webhotel på redundant setup med daglig backup.
POP3, IMAP, PHP, JSP, Java, Perl, Python, Telnet, SSH, Cron-jobs m.v.
http://www.jsp-hotel.dk/
| |
Niels Kristian Jense~ (25-06-2008)
| Kommentar Fra : Niels Kristian Jense~ |
Dato : 25-06-08 12:53 |
|
Jonathan Stein <jstein@image.dk> wrote in news:48622bc2$0$90266$14726298
@news.sunsite.dk:
> Niels Kristian Jensen skrev:
>
>> I det nuværende setup er eth0 wan netkort. eth1 er (dhcp) lan med div.
>> kontormaskiner, eth2 er til DMZ'en med serverne i (statiske IP'er).
>
> Husk KK(*), som fysisk sidder på samme netværk som eth0. Af hensyn til
> dem, bør vi nok beholde proxy-arp, med mindre KK flyttes ind på et andet
> interface.
>
> Firewall'en skal desuden have den gamle default gateway IP i /28 nettet.
> Firewall'en skal så selv have TDCs router som default gateway.
>
> (*) KK er en anden firewall, som NAT'er én IP i /28 nettet til en række
> brugere.
Hej Jonathan, dit svar er på linie med det, som jeg fik ovre i
dk.edb.netvaerk.stort
Dog tror jeg at vi nemmest kan give KK god service ved at flytte KK's
firewall ind på DMZ'en - men lad os tage den på mail.
Mvsh. Ænkå
| |
Jonathan Stein (22-06-2008)
| Kommentar Fra : Jonathan Stein |
Dato : 22-06-08 14:53 |
|
Niels Kristian Jensen skrev:
> jeg skal snart have en (TDC) forbindelse til en firewall - og så kommer
> IP'erne i to subnet. TDC kalder det for en "kant-router".
Det kalder de vist generelt alle routere på grænsen mellem deres netværk
og kundens eget netværk.
> Et subnet hvor gateway findes (et /31 sub net) samt et subnet, hvor de
> brugbare IP'er ligger (et /28 sub net) - uden gateway.
Hvis den ene IP i /31 nettet er gateway, så kunne jeg forestille mig, at
den anden er kundens router (som i dette tilfælde er firewall'en).
I så fald skal firewall'ens WAN-interface blot have den anden IP-adresse
i /31 nettet, og firewall'en skal fungere som en alm. router (den skal
altså ikke længere køre proxy-arp).
På LAN-interfacet skal firewall'en tildeles en IP i /28 nettet, som
bliver de øvrige klienters gateway-adresse.
- Men det er lidt et gætværk. Er der flere informationer fra TDC? (Jeg
går ud fra, at det er en forbindelse, jeg kender lidt til i forvejen...
- du må gerne sende evt. info pr. mail).
M.v.h.
Jonathan
--
Er din email vigtig? Er du træt af, at din hjemmeside er nede?
Stabilt webhotel på redundant setup med daglig backup.
POP3, IMAP, PHP, JSP, Java, Perl, Python, Telnet, SSH, Cron-jobs m.v.
http://www.jsp-hotel.dk/
| |
|
|