Er det mulig å route et subnett?

[ffs]

Er det mulig å route et subnett?

Et eksempel:

 

Jeg har en server, tjener som firewall/proxy/etc.

Denne har en offisiell IP ut mot nett: 139.164.131.4/30

Mot LAN har den 10.226.0.1, som går til en switch med DMZ.

Serverne på DMZ skal ha muligheten for å offisielle internet IPer:

139.164.134.0/24! Hvordan kan jeg få til dette?

Endret 5. juni 2006 av ffs

[xcomiii]

En måte å gjøre dette på, er å sette opp egne VLAN. Spørs litt på funksjonaliteten til fw da...

[ffs]

en bluecoat boks, velg og vrak, ja det er mulighet for vlan. Hvordan funker vlan?

Endret 5. juni 2006 av ffs

[mrblc]

Først og fremst..

 

Ruteren din må inneha det samme subnettet du skal rute videre...

så må den settes opp til å sende all trafikk som kommer inn fra utsiden på <ip adresse> til å sendes videre til <intern ip adresse i DMZ>

Dette må gjøres for alle ip adressene som skal rutes,..

Noen rutere gjør andre veien automatisk, andre må konfigureres til å sende trafikken tilbake samme vei som den kom fra.. akkurat den delen må du nesten lese i manualen på ruteren.

 

-blc

[ffs]

Ja, alt som sendes inn mot 139.164.134.0/24 nettverket skal gå mot DMZ, pga for bak dmz vil webservere f.eks. stå. så det stemmer.. Så i firewallen må alt som skal til dette nettet være pip åpen=ikknoe firewall.

Poenget med dette og hvorfro jeg lurer er at jeg skal forklare hvordan nettverket funker. Så er det mul8ig med kun hjelp av routing/bridging/vlan? Hva?Hvordan?

[mrblc]

Ja.. det er mulig.. men.. jeg har aldri gjort det med vanlige rutere.. kun med dedikerte maskiner basert på linux/bsd...

 

på de er det enkelt.. så lenge du kan syntaksen..

 

da er det bare "rut alt som kommer inn på <ip> til <intern ip>"

og så "rut alt som kommer fra <intern ip> til <ekstern ip>"

 

med vanlige ruterbokser blir sånt fort litt vanskeligere siden de er i utgangspunktet ikke ment å takle flere eksterne ip'er.. (noen av de har fortsatt muligheten, men det er ingen enkel oppgave)

 

det var derfor jeg henviste deg til brukermanualen av ruteren din.. dog.. det er ikke alltid de dokumenterer så avanserte funksjoner..

[ffs]

Kan bare nevne at hovedservern, eller routern som du kaller ikke er en småtass:

bluecoat velg en av disse.. og fra denne i LAN går den til en DFL 1100 som du finner her Som har en DMZ port, som går til web servers etc.

Endret 5. juni 2006 av ffs

[mrblc]

Som vanlig sier ikke websidene en dritt om den takler subnett med ip'er..

så da er vi tilbake igjen til manualen...

 

du vet du kunne satt opp en maskin som gjør jobben til begge de to der ikke sant?

en liten mini-itx, (med hardware AES kryptering/dekryptering) ville gjort akkurat samme jobben.. både linux og bsd støtter AES chip'en til VIA.. og begge kan utnytte openVPN for å sette opp så mange VPN tunneller du bare ønsker..

 

men men..

Det du er ute etter, er denne funksjonen: http://www.shorewall.net/NAT.htm

Jeg har ingen planer om å prøve å få tak i en manual av ruteren din for å gi deg nøyaktige svar.. litt må du tross alt gjøre selv..

[ffs]

HEhe, det vet jeg og det kommer jeg til å si, det hadde gjort jobben en god del enklere, men slik er det dog ikke..

[Zenit]

Ja, alt som sendes inn mot 139.164.134.0/24 nettverket skal gå mot DMZ, pga for bak dmz vil webservere f.eks. stå. så det stemmer.. Så i firewallen må alt som skal til dette nettet være pip åpen=ikknoe firewall.

Poenget med dette og hvorfro jeg lurer er at jeg skal forklare hvordan nettverket funker. Så er det mul8ig med kun hjelp av routing/bridging/vlan? Hva?Hvordan?

6245776[/snapback]

Først må hele /24 nettverket faktisk blir routet frem til din fw. Skjer ikke dette, kan du egentlig glemme å fordele det videre. Du skriver at IP-en til fw-en er 139.164.131.4/30, noe som ikke tyder på at hele /24 nettet er rutet helt frem. Hvis det går å bruke /24 som nettmaske og det er mulig å så bruke dine offisielle IP-er kan du begynne å tenke på hva du kan gjøre videre. Alt dette er avhengig at ting er konfigurert riktig før trafikken kommer frem til din fw.

 

Én mulighet er å ha et eget interface i fw-en til dmz, koble switchen til dette og dermed ha et enkelt dmz. NAT burde ikke komme inn i bildet her, utenom hvis du ønsker å ha et privat nettverk på et annet LAN-interface. Du kan også velge å sende trafikken videre ved bruke VLAN, kanskje subnette ting mer.. I dunno.

[ffs]

Ja, alt som sendes inn mot 139.164.134.0/24 nettverket skal gå mot DMZ, pga for bak dmz vil webservere f.eks. stå. så det stemmer.. Så i firewallen må alt som skal til dette nettet være pip åpen=ikknoe firewall.

Poenget med dette og hvorfro jeg lurer er at jeg skal forklare hvordan nettverket funker. Så er det mul8ig med kun hjelp av routing/bridging/vlan? Hva?Hvordan?

6245776[/snapback]

Først må hele /24 nettverket faktisk blir routet frem til din fw. Skjer ikke dette, kan du egentlig glemme å fordele det videre. Du skriver at IP-en til fw-en er 139.164.131.4/30, noe som ikke tyder på at hele /24 nettet er rutet helt frem. Hvis det går å bruke /24 som nettmaske og det er mulig å så bruke dine offisielle IP-er kan du begynne å tenke på hva du kan gjøre videre. Alt dette er avhengig at ting er konfigurert riktig før trafikken kommer frem til din fw.

 

Én mulighet er å ha et eget interface i fw-en til dmz, koble switchen til dette og dermed ha et enkelt dmz. NAT burde ikke komme inn i bildet her, utenom hvis du ønsker å ha et privat nettverk på et annet LAN-interface. Du kan også velge å sende trafikken videre ved bruke VLAN, kanskje subnette ting mer.. I dunno.

6246111[/snapback]

 

vell, det er forskjellige nett, som seff er routet til meg fra ISP: 139.164.131.4/30 og 139.164.134.0/24. Fortsatt er poenget at, jeg skal ha en firewall og derfra videre til en DFL-1100-->DMZ-->servere med IPer fra 139.164.134.0/24 , det har litt med praktiske årsaker..

men jeg ser helt klart fordelen med å kun ha en egen for dmz.

Endret 5. juni 2006 av ffs