информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
За кого нас держат?Портрет посетителя
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Крупный взлом GoDaddy 
 Просроченный сертификат ломает... 
 Phrack #70/0x46 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / networking
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
У меня есть подозрение, что ты не поднял форвардинг между интерфейсами роутера. 05.07.05 12:40  Число просмотров: 2257
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
<networking>
Дополнительная subnet внутри рабочей сетки. 02.07.05 03:15  
Автор: Dialbat Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Имеется рабочая сеть такой конструкции:
Внеш.Инет -> Firewall (DHCP server) -> Switch-> Пользпватели
Вопрос в следующем. Как добавить дополнительную subnet, чтоб маршрутизация из основной, спокойно проходила в дополнительную и обратно. Для примера, у меня все IP -192.168.0.0/24, я хочу добавить 192.168.1.0/24, и мне надо, чтоб с 192.168.0.0/24 пингались все IP na 192.168.1.0/24.
Firewall у меня работает и DHCP сервером, на нем только один выход.
Я попробовал добавить маршрутизатор (router) и чтоб под ним была 192.168.1.0/24, но получилось что все системы на 192.168.1.0/24 могли выходить наружу, а с 192.168.0.0/24 на 192.168.1.0/24, ни одна система про пингать немогла.
Заранее спасибо.
Ребята спасибо большое за все идеи, но вот причина этой... 05.07.05 03:47  
Автор: Dialbat Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Ребята спасибо большое за все идеи, но вот причина этой проблемы.
Все в общем пашет как надо и все довольны но, у нас есть отдел инженеров которые от делать нефига ну и по работе тоже конечно, любят врубать в сеть разные устройства, начиная от хабов со свичами и раутеров до песпроводных AP. Проблемы начались когда эти ребята для тестов стали врубать AP bridges в один и тот же хаб, тем самым создавая loop (замыкание), в общем тоже самое что если один и тот же сетевой кабель воткнуть обоими концами в свитч. КОгда это происходит то появляется куча IP конфликтов, даже на серваках с статичным IP и все удаленные соединения летят как и все программы что используют ресурсы на сети.
Наехать я на инженеров не могу, заставить тоже не могу, вот и решил я поставить между сетью и инженерами раутер и отдельную сабнет, чтоб уж если они и что запороли, так только на них это и отразиться.
Начав играться с имевшимся свободным раутером, понял что даже пре прописаном раутинге он все равно в эту подсабнет полностью не раутает.
Народу у нас не так много, так что за 254 марку не перетянем.
Если есть другие идеи по решению этой проблемы, буду признателен.
Я в курсе того что возможно перенести DHCP с файрвола на сервер, и пустить вторую сабнет со второй карточки, но не очень хотелось бы это делать. Поэтому и попытался решить это с помошью раутера, или возможно отдельной системы и линуксом в роли раутера на эту подсеть.
Лихих ребят Однозначно в другой физический сегмент (вставляй 2-ю сетевую) 05.07.05 07:09  
Автор: Woonder <Бученков Андрей> Статус: Member
<"чистая" ссылка>
Можно проще: 192.168.0.0/23; 192.168.1.0/23 04.07.05 12:48  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
Смени на рабочих станциях маску подсети на 255.255.254.0 и все должно работать. На серверах и маршрутизаторах маску подсети можно не трогать, если каждая подсеть должна общаться исключительно со своими серверами, а рабочие станции обоих подсетей должны видеть друг друга.

> Я попробовал добавить маршрутизатор (router) и чтоб под ним
> была 192.168.1.0/24, но получилось что все системы на
> 192.168.1.0/24 могли выходить наружу, а с 192.168.0.0/24 на
> 192.168.1.0/24, ни одна система про пингать немогла.
> Заранее спасибо.

А ты настраивал роутинг между подсетями?
ИМХО 510 компов в бродкаст домене (или - хуже в домене коллизий) - НЕ есть хорожо 04.07.05 18:37  
Автор: Woonder <Бученков Андрей> Статус: Member
<"чистая" ссылка>
Для начала хочется сказать, что не надо городить такой... 03.07.05 12:18  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 03.07.05 12:20  Количество правок: 1
<"чистая" ссылка>
Для начала хочется сказать, что не надо городить такой огород. Если сегмент один, то и подсеть должна быть одна. Ничто не мешает двум подсетям работать в одном сегменте, но общаться друг с другом, это уже не есть хорошо.
Можно попробовать решить задачку, установив в сервер второй адаптер и подключив его к тому же свитчу. На каждом адаптере должны быть адреса из разных подсетей, добавить форвардинг и все "увидят" друг друга и интернет.
Второй вариант - на внутреннем адаптере должны быть два адреса, например 192.168.0.1/24 и 192.168.1.1/24. Ну и форвардинг между всем.

> Имеется рабочая сеть такой конструкции:
> Внеш.Инет -> Firewall (DHCP server) -> Switch->
> Пользпватели
> Вопрос в следующем. Как добавить дополнительную subnet,
> чтоб маршрутизация из основной, спокойно проходила в
> дополнительную и обратно. Для примера, у меня все IP
> -192.168.0.0/24, я хочу добавить 192.168.1.0/24, и мне
> надо, чтоб с 192.168.0.0/24 пингались все IP na
> 192.168.1.0/24.
> Firewall у меня работает и DHCP сервером, на нем только
> один выход.
> Я попробовал добавить маршрутизатор (router) и чтоб под ним
> была 192.168.1.0/24, но получилось что все системы на
> 192.168.1.0/24 могли выходить наружу, а с 192.168.0.0/24 на
> 192.168.1.0/24, ни одна система про пингать немогла.
> Заранее спасибо.
А почему нельзя-то? Может, ему уже адресов не хватает, или... 04.07.05 11:16  
Автор: cybervlad <cybervlad> Статус: Elderman
<"чистая" ссылка>
> Для начала хочется сказать, что не надо городить такой
> огород. Если сегмент один, то и подсеть должна быть одна.
А почему нельзя-то? Может, ему уже адресов не хватает, или еще по какой причине доп. сеть нужна (например, правила на файрволе для нее другие будут).
Насчет доп. сетевой платы. ИМХО - необязательно, т.к. все современные ОС понимают 2 айпишника на одном физическом интерфейсе.
А я не говорю,что нельзя. Я предлагаю не решать проблему через 'Ж'. 04.07.05 22:49  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
Адресов мало, можно не сеть другого класса перейти - с С на В или даже на А.
При общении меджу сетями все через роутер пойдет - может затыкаться. Лучше напрямую.
Уточни топологию сетки 02.07.05 20:29  
Автор: Woonder <Бученков Андрей> Статус: Member
<"чистая" ссылка>
Маршрутизатор поднимал на Фаерволе или отдельный хардварный
Если на фаерволе, то у тебя там 3 Интерфейса
1 - Inet
2 - 192.168.0.0/24
3 - 192.168.1.0/24
Я правильно понял?
Все так, но только нет 3 интерфейса, так бы просто пустил на... 05.07.05 03:54  
Автор: Dialbat Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Все так, но только нет 3 интерфейса, так бы просто пустил на него эту подсеть и все.

> Маршрутизатор поднимал на Фаерволе или отдельный хардварный
> Если на фаерволе, то у тебя там 3 Интерфейса
> 1 - Inet
> 2 - 192.168.0.0/24
> 3 - 192.168.1.0/24
> Я правильно понял?
Возможно заапреты Firewall 05.07.05 07:02  
Автор: Woonder <Бученков Андрей> Статус: Member
<"чистая" ссылка>
> Все так, но только нет 3 интерфейса, так бы просто пустил
> на него эту подсеть и все.

Может у тя на фаерволе разрешающие правила в Inet для обоих подсетей есть , а для внутреннего межсетевого взаимодействия - нет, вот он и режет весь траффик между сетями, а наружу пропускает.
Например MS ISA2004 - вообще - ВЕЩЬ_В_СЕБЕ - пока что-то не разрешить - чхать он хотел - что это внутренние сетки, он защищает себя любимого от любого траффика (не важно откуда), а маршрутизацию между двумя внутренними интерфейсами - вообще настраивать отдельно надо (Это касается только 2 сетевых плат, не знаю точно как он себя ведёт когда 2 адреса на 1 сетевой)
У CheckPoint похожая ситуация,
В общем хорошо бы знать какая у тебя Ось, Фаервол, и что ДХЦП раздаёт, да и правила Фаервольные.
В общем говори IP, Логин и Пароль Админа - Общими усилиями сами всё сделаем :) (Шутю....)
Я уж было принялся тебе свой АйПи писать с паролем на... 05.07.05 09:01  
Автор: Dialbat Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Я уж было принялся тебе свой АйПи писать с паролем на файрвол, как увидел твоё (шучу) :)

Все в общем то работает, и на файрволе я правила на раутинг давал, чтоб он все что на 192.168.1.0/24 исет, посылал на мой подсетевой раутер. Но все нито.
Для примера, у нас ACT 5 стоит, и база находится на основной сети, так все кто на подсети сидели, каждые несколько минут вырубались и теряли связь с базой, плюс все драйвы замапаные, тоже связь теряли.
Мне дали идею что нужен полный Layer3 routing switch, и мол потом все будет пахать как надо, но это удовольствие больших денег стоит и я решил попробовать линукс раутер с 2 картами.
Вот завтра с утра опять начну играться, и посмотри что и как.


> > Все так, но только нет 3 интерфейса, так бы просто
> пустил
> > на него эту подсеть и все.
>
> Может у тя на фаерволе разрешающие правила в Inet для обоих
> подсетей есть , а для внутреннего межсетевого
> взаимодействия - нет, вот он и режет весь траффик между
> сетями, а наружу пропускает.
> Например MS ISA2004 - вообще - ВЕЩЬ_В_СЕБЕ - пока что-то не
> разрешить - чхать он хотел - что это внутренние сетки, он
> защищает себя любимого от любого траффика (не важно
> откуда), а маршрутизацию между двумя внутренними
> интерфейсами - вообще настраивать отдельно надо (Это
> касается только 2 сетевых плат, не знаю точно как он себя
> ведёт когда 2 адреса на 1 сетевой)
> У CheckPoint похожая ситуация,
> В общем хорошо бы знать какая у тебя Ось, Фаервол, и что
> ДХЦП раздаёт, да и правила Фаервольные.
> В общем говори IP, Логин и Пароль Админа - Общими усилиями
> сами всё сделаем :) (Шутю....)
У меня есть подозрение, что ты не поднял форвардинг между интерфейсами роутера. 05.07.05 12:40  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
Dem - а можно более подробней? 05.07.05 19:38  
Автор: Dialbat Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Dem - а можно более подробней?
между какими интерфайсами?
На файрволе только 2, 1 - внешний, 2- внутренний. Между ними все работает как надо.
На Файрволе есть фича на добавления раутинга, где я выставил IP дополнительного раутера на сетек, скажем 192.168.0.30, и что все по запросу на 192.168.1.0/24 должно идти на 192.168.0.30.
Но это не дало мне требуемого результата.
У фаервола есть название, может тогда станет немного легче думать... 05.07.05 21:07  
Автор: Woonder <Бученков Андрей> Статус: Member
<"чистая" ссылка>
Стормозил :) 05.07.05 21:23  
Автор: Dialbat Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Стормозил :)
WatchGuard Firebox X500
Что покажет сниффер 05.07.05 22:50  
Автор: Woonder <Бученков Андрей> Статус: Member
<"чистая" ссылка>
1.На Компе из сетки 192.168.0.0/24 запусти сниффер и лови ICMP пакеты
2.запусти пинг например на адрес 192.168.1.10
3.Смотри какие пакеты захватил сниффер:
1 пакет (Посылаешь ты) - ICMP Echo Request: From (Твой IP) To 192.168.1.10
2 пакет (Тебе отвечает Твой FW) - ICMP Redirect: Use Gateway 192.168.0.30 to reach 192.168.1.10
3 пакет (Тебе отвечает комп ) - ICMP Echo Reply: From 192.168.1.10 to (Твой IP)

Если нет 2 пакета, то твой WatchGuard Firebox X500 либо не правильно настроен, либо могет не поддерживает что-то
Если нет 3 пакета, то неправильно настроен маршрутизатор 192.168.0.30
Да и ещё не мешало бы контролировать WatchGuard Firebox X500 в реальном времени и логи посмотреть
Расскажи потом что показал сниффер.

Кстати в тему : У тебя Firebox с тремя портами? Или я что-то путаю.

Есть ещё вариант:
через DHCP раздавай сетке 192.168.0.0 шлюз по умолчанию - 192.168.0.30
на маршрутизаторе 192.168.0.30 шлюзом по умолчанию ставь адрес Firebox
Тогда компы из сетки 192.168.0.0 при запросах в Инет просто будут получать от 192168.0.30 пакеты ICMP Redirect на IP Firebox
Спасибо, начну пробовать. 05.07.05 23:43  
Автор: Dialbat Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Спасибо, начну пробовать.
Да, на нем действительно 3 порта, но 3 порт идет как DMZ и изначально настроен на более слабую защиту. Я о нем не говорил, чтоб народ в заблуждение не вводить.


> 1.На Компе из сетки 192.168.0.0/24 запусти сниффер и лови
> ICMP пакеты
> 2.запусти пинг например на адрес 192.168.1.10
> 3.Смотри какие пакеты захватил сниффер:
> 1 пакет (Посылаешь ты) - ICMP Echo Request: From (Твой
> IP) To 192.168.1.10
> 2 пакет (Тебе отвечает Твой FW) - ICMP Redirect: Use
> Gateway 192.168.0.30 to reach 192.168.1.10
> 3 пакет (Тебе отвечает комп ) - ICMP Echo Reply: From
> 192.168.1.10 to (Твой IP)
>
> Если нет 2 пакета, то твой WatchGuard Firebox X500 либо не
> правильно настроен, либо могет не поддерживает что-то
> Если нет 3 пакета, то неправильно настроен маршрутизатор
> 192.168.0.30
> Да и ещё не мешало бы контролировать WatchGuard Firebox
> X500 в реальном времени и логи посмотреть
> Расскажи потом что показал сниффер.
>
> Кстати в тему : У тебя Firebox с тремя портами? Или я
> что-то путаю.
>
> Есть ещё вариант:
> через DHCP раздавай сетке 192.168.0.0 шлюз по умолчанию -
> 192.168.0.30
> на маршрутизаторе 192.168.0.30 шлюзом по умолчанию ставь
> адрес Firebox
> Тогда компы из сетки 192.168.0.0 при запросах в Инет просто
> будут получать от 192168.0.30 пакеты ICMP Redirect на IP
> Firebox
1






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2021 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach