информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Spanning Tree Protocol: недокументированное применениеПортрет посетителя
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / networking
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
ИМХО 510 компов в бродкаст домене (или - хуже в домене коллизий) - НЕ есть хорожо 04.07.05 18:37  Число просмотров: 3549
Автор: Woonder <Бученков Андрей> Статус: Member
<"чистая" ссылка>
<networking>
Дополнительная subnet внутри рабочей сетки. 02.07.05 03:15  
Автор: Dialbat Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Имеется рабочая сеть такой конструкции:
Внеш.Инет -> Firewall (DHCP server) -> Switch-> Пользпватели
Вопрос в следующем. Как добавить дополнительную subnet, чтоб маршрутизация из основной, спокойно проходила в дополнительную и обратно. Для примера, у меня все IP -192.168.0.0/24, я хочу добавить 192.168.1.0/24, и мне надо, чтоб с 192.168.0.0/24 пингались все IP na 192.168.1.0/24.
Firewall у меня работает и DHCP сервером, на нем только один выход.
Я попробовал добавить маршрутизатор (router) и чтоб под ним была 192.168.1.0/24, но получилось что все системы на 192.168.1.0/24 могли выходить наружу, а с 192.168.0.0/24 на 192.168.1.0/24, ни одна система про пингать немогла.
Заранее спасибо.
Ребята спасибо большое за все идеи, но вот причина этой... 05.07.05 03:47  
Автор: Dialbat Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Ребята спасибо большое за все идеи, но вот причина этой проблемы.
Все в общем пашет как надо и все довольны но, у нас есть отдел инженеров которые от делать нефига ну и по работе тоже конечно, любят врубать в сеть разные устройства, начиная от хабов со свичами и раутеров до песпроводных AP. Проблемы начались когда эти ребята для тестов стали врубать AP bridges в один и тот же хаб, тем самым создавая loop (замыкание), в общем тоже самое что если один и тот же сетевой кабель воткнуть обоими концами в свитч. КОгда это происходит то появляется куча IP конфликтов, даже на серваках с статичным IP и все удаленные соединения летят как и все программы что используют ресурсы на сети.
Наехать я на инженеров не могу, заставить тоже не могу, вот и решил я поставить между сетью и инженерами раутер и отдельную сабнет, чтоб уж если они и что запороли, так только на них это и отразиться.
Начав играться с имевшимся свободным раутером, понял что даже пре прописаном раутинге он все равно в эту подсабнет полностью не раутает.
Народу у нас не так много, так что за 254 марку не перетянем.
Если есть другие идеи по решению этой проблемы, буду признателен.
Я в курсе того что возможно перенести DHCP с файрвола на сервер, и пустить вторую сабнет со второй карточки, но не очень хотелось бы это делать. Поэтому и попытался решить это с помошью раутера, или возможно отдельной системы и линуксом в роли раутера на эту подсеть.
Лихих ребят Однозначно в другой физический сегмент (вставляй 2-ю сетевую) 05.07.05 07:09  
Автор: Woonder <Бученков Андрей> Статус: Member
<"чистая" ссылка>
Можно проще: 192.168.0.0/23; 192.168.1.0/23 04.07.05 12:48  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
Смени на рабочих станциях маску подсети на 255.255.254.0 и все должно работать. На серверах и маршрутизаторах маску подсети можно не трогать, если каждая подсеть должна общаться исключительно со своими серверами, а рабочие станции обоих подсетей должны видеть друг друга.

> Я попробовал добавить маршрутизатор (router) и чтоб под ним
> была 192.168.1.0/24, но получилось что все системы на
> 192.168.1.0/24 могли выходить наружу, а с 192.168.0.0/24 на
> 192.168.1.0/24, ни одна система про пингать немогла.
> Заранее спасибо.

А ты настраивал роутинг между подсетями?
ИМХО 510 компов в бродкаст домене (или - хуже в домене коллизий) - НЕ есть хорожо 04.07.05 18:37  
Автор: Woonder <Бученков Андрей> Статус: Member
<"чистая" ссылка>
Для начала хочется сказать, что не надо городить такой... 03.07.05 12:18  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 03.07.05 12:20  Количество правок: 1
<"чистая" ссылка>
Для начала хочется сказать, что не надо городить такой огород. Если сегмент один, то и подсеть должна быть одна. Ничто не мешает двум подсетям работать в одном сегменте, но общаться друг с другом, это уже не есть хорошо.
Можно попробовать решить задачку, установив в сервер второй адаптер и подключив его к тому же свитчу. На каждом адаптере должны быть адреса из разных подсетей, добавить форвардинг и все "увидят" друг друга и интернет.
Второй вариант - на внутреннем адаптере должны быть два адреса, например 192.168.0.1/24 и 192.168.1.1/24. Ну и форвардинг между всем.

> Имеется рабочая сеть такой конструкции:
> Внеш.Инет -> Firewall (DHCP server) -> Switch->
> Пользпватели
> Вопрос в следующем. Как добавить дополнительную subnet,
> чтоб маршрутизация из основной, спокойно проходила в
> дополнительную и обратно. Для примера, у меня все IP
> -192.168.0.0/24, я хочу добавить 192.168.1.0/24, и мне
> надо, чтоб с 192.168.0.0/24 пингались все IP na
> 192.168.1.0/24.
> Firewall у меня работает и DHCP сервером, на нем только
> один выход.
> Я попробовал добавить маршрутизатор (router) и чтоб под ним
> была 192.168.1.0/24, но получилось что все системы на
> 192.168.1.0/24 могли выходить наружу, а с 192.168.0.0/24 на
> 192.168.1.0/24, ни одна система про пингать немогла.
> Заранее спасибо.
А почему нельзя-то? Может, ему уже адресов не хватает, или... 04.07.05 11:16  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> Для начала хочется сказать, что не надо городить такой
> огород. Если сегмент один, то и подсеть должна быть одна.
А почему нельзя-то? Может, ему уже адресов не хватает, или еще по какой причине доп. сеть нужна (например, правила на файрволе для нее другие будут).
Насчет доп. сетевой платы. ИМХО - необязательно, т.к. все современные ОС понимают 2 айпишника на одном физическом интерфейсе.
А я не говорю,что нельзя. Я предлагаю не решать проблему через 'Ж'. 04.07.05 22:49  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
Адресов мало, можно не сеть другого класса перейти - с С на В или даже на А.
При общении меджу сетями все через роутер пойдет - может затыкаться. Лучше напрямую.
Уточни топологию сетки 02.07.05 20:29  
Автор: Woonder <Бученков Андрей> Статус: Member
<"чистая" ссылка>
Маршрутизатор поднимал на Фаерволе или отдельный хардварный
Если на фаерволе, то у тебя там 3 Интерфейса
1 - Inet
2 - 192.168.0.0/24
3 - 192.168.1.0/24
Я правильно понял?
Все так, но только нет 3 интерфейса, так бы просто пустил на... 05.07.05 03:54  
Автор: Dialbat Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Все так, но только нет 3 интерфейса, так бы просто пустил на него эту подсеть и все.

> Маршрутизатор поднимал на Фаерволе или отдельный хардварный
> Если на фаерволе, то у тебя там 3 Интерфейса
> 1 - Inet
> 2 - 192.168.0.0/24
> 3 - 192.168.1.0/24
> Я правильно понял?
Возможно заапреты Firewall 05.07.05 07:02  
Автор: Woonder <Бученков Андрей> Статус: Member
<"чистая" ссылка>
> Все так, но только нет 3 интерфейса, так бы просто пустил
> на него эту подсеть и все.

Может у тя на фаерволе разрешающие правила в Inet для обоих подсетей есть , а для внутреннего межсетевого взаимодействия - нет, вот он и режет весь траффик между сетями, а наружу пропускает.
Например MS ISA2004 - вообще - ВЕЩЬ_В_СЕБЕ - пока что-то не разрешить - чхать он хотел - что это внутренние сетки, он защищает себя любимого от любого траффика (не важно откуда), а маршрутизацию между двумя внутренними интерфейсами - вообще настраивать отдельно надо (Это касается только 2 сетевых плат, не знаю точно как он себя ведёт когда 2 адреса на 1 сетевой)
У CheckPoint похожая ситуация,
В общем хорошо бы знать какая у тебя Ось, Фаервол, и что ДХЦП раздаёт, да и правила Фаервольные.
В общем говори IP, Логин и Пароль Админа - Общими усилиями сами всё сделаем :) (Шутю....)
Я уж было принялся тебе свой АйПи писать с паролем на... 05.07.05 09:01  
Автор: Dialbat Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Я уж было принялся тебе свой АйПи писать с паролем на файрвол, как увидел твоё (шучу) :)

Все в общем то работает, и на файрволе я правила на раутинг давал, чтоб он все что на 192.168.1.0/24 исет, посылал на мой подсетевой раутер. Но все нито.
Для примера, у нас ACT 5 стоит, и база находится на основной сети, так все кто на подсети сидели, каждые несколько минут вырубались и теряли связь с базой, плюс все драйвы замапаные, тоже связь теряли.
Мне дали идею что нужен полный Layer3 routing switch, и мол потом все будет пахать как надо, но это удовольствие больших денег стоит и я решил попробовать линукс раутер с 2 картами.
Вот завтра с утра опять начну играться, и посмотри что и как.


> > Все так, но только нет 3 интерфейса, так бы просто
> пустил
> > на него эту подсеть и все.
>
> Может у тя на фаерволе разрешающие правила в Inet для обоих
> подсетей есть , а для внутреннего межсетевого
> взаимодействия - нет, вот он и режет весь траффик между
> сетями, а наружу пропускает.
> Например MS ISA2004 - вообще - ВЕЩЬ_В_СЕБЕ - пока что-то не
> разрешить - чхать он хотел - что это внутренние сетки, он
> защищает себя любимого от любого траффика (не важно
> откуда), а маршрутизацию между двумя внутренними
> интерфейсами - вообще настраивать отдельно надо (Это
> касается только 2 сетевых плат, не знаю точно как он себя
> ведёт когда 2 адреса на 1 сетевой)
> У CheckPoint похожая ситуация,
> В общем хорошо бы знать какая у тебя Ось, Фаервол, и что
> ДХЦП раздаёт, да и правила Фаервольные.
> В общем говори IP, Логин и Пароль Админа - Общими усилиями
> сами всё сделаем :) (Шутю....)
У меня есть подозрение, что ты не поднял форвардинг между интерфейсами роутера. 05.07.05 12:40  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
Dem - а можно более подробней? 05.07.05 19:38  
Автор: Dialbat Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Dem - а можно более подробней?
между какими интерфайсами?
На файрволе только 2, 1 - внешний, 2- внутренний. Между ними все работает как надо.
На Файрволе есть фича на добавления раутинга, где я выставил IP дополнительного раутера на сетек, скажем 192.168.0.30, и что все по запросу на 192.168.1.0/24 должно идти на 192.168.0.30.
Но это не дало мне требуемого результата.
У фаервола есть название, может тогда станет немного легче думать... 05.07.05 21:07  
Автор: Woonder <Бученков Андрей> Статус: Member
<"чистая" ссылка>
Стормозил :) 05.07.05 21:23  
Автор: Dialbat Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Стормозил :)
WatchGuard Firebox X500
Что покажет сниффер 05.07.05 22:50  
Автор: Woonder <Бученков Андрей> Статус: Member
<"чистая" ссылка>
1.На Компе из сетки 192.168.0.0/24 запусти сниффер и лови ICMP пакеты
2.запусти пинг например на адрес 192.168.1.10
3.Смотри какие пакеты захватил сниффер:
1 пакет (Посылаешь ты) - ICMP Echo Request: From (Твой IP) To 192.168.1.10
2 пакет (Тебе отвечает Твой FW) - ICMP Redirect: Use Gateway 192.168.0.30 to reach 192.168.1.10
3 пакет (Тебе отвечает комп ) - ICMP Echo Reply: From 192.168.1.10 to (Твой IP)

Если нет 2 пакета, то твой WatchGuard Firebox X500 либо не правильно настроен, либо могет не поддерживает что-то
Если нет 3 пакета, то неправильно настроен маршрутизатор 192.168.0.30
Да и ещё не мешало бы контролировать WatchGuard Firebox X500 в реальном времени и логи посмотреть
Расскажи потом что показал сниффер.

Кстати в тему : У тебя Firebox с тремя портами? Или я что-то путаю.

Есть ещё вариант:
через DHCP раздавай сетке 192.168.0.0 шлюз по умолчанию - 192.168.0.30
на маршрутизаторе 192.168.0.30 шлюзом по умолчанию ставь адрес Firebox
Тогда компы из сетки 192.168.0.0 при запросах в Инет просто будут получать от 192168.0.30 пакеты ICMP Redirect на IP Firebox
Спасибо, начну пробовать. 05.07.05 23:43  
Автор: Dialbat Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Спасибо, начну пробовать.
Да, на нем действительно 3 порта, но 3 порт идет как DMZ и изначально настроен на более слабую защиту. Я о нем не говорил, чтоб народ в заблуждение не вводить.


> 1.На Компе из сетки 192.168.0.0/24 запусти сниффер и лови
> ICMP пакеты
> 2.запусти пинг например на адрес 192.168.1.10
> 3.Смотри какие пакеты захватил сниффер:
> 1 пакет (Посылаешь ты) - ICMP Echo Request: From (Твой
> IP) To 192.168.1.10
> 2 пакет (Тебе отвечает Твой FW) - ICMP Redirect: Use
> Gateway 192.168.0.30 to reach 192.168.1.10
> 3 пакет (Тебе отвечает комп ) - ICMP Echo Reply: From
> 192.168.1.10 to (Твой IP)
>
> Если нет 2 пакета, то твой WatchGuard Firebox X500 либо не
> правильно настроен, либо могет не поддерживает что-то
> Если нет 3 пакета, то неправильно настроен маршрутизатор
> 192.168.0.30
> Да и ещё не мешало бы контролировать WatchGuard Firebox
> X500 в реальном времени и логи посмотреть
> Расскажи потом что показал сниффер.
>
> Кстати в тему : У тебя Firebox с тремя портами? Или я
> что-то путаю.
>
> Есть ещё вариант:
> через DHCP раздавай сетке 192.168.0.0 шлюз по умолчанию -
> 192.168.0.30
> на маршрутизаторе 192.168.0.30 шлюзом по умолчанию ставь
> адрес Firebox
> Тогда компы из сетки 192.168.0.0 при запросах в Инет просто
> будут получать от 192168.0.30 пакеты ICMP Redirect на IP
> Firebox
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 1 s   Design: Vadim Derkach