|
Sebastian Biedrzycki - 15 Cze 2007, 05:20 Witam Mam możliwośc otrzymania pewnej puli adresów publicznych, do tej pory wszystko działało jako translacja adresów nat. Chciałbym mieć możliwośc przydzielenia konkretnym komputerom w sieci adresów publicznych najlepiej przez dhcpi teraz .... hym jak to zrobić ??? . Myślałem o jakimś bridge-u z dhcp, nie wiem czy dobrze kombinuje .... i...@mud.pl - 15 Cze 2007, 06:15 Witam Mam możliwośc otrzymania pewnej puli adresów publicznych, do tej pory wszystko działało jako translacja adresów nat. Chciałbym mieć możliwośc przydzielenia konkretnym komputerom w sieci adresów publicznych najlepiej przez dhcpi teraz .... hym jak to zrobić ??? . Myślałem o jakimś bridge-u z dhcp, nie wiem czy dobrze kombinuje .... a strefy DMZ zrobic nie możesz na innym segmencie sieci ? Piotr KUCHARSKI - 15 Cze 2007, 10:19 Mam możliwośc otrzymania pewnej puli adresów publicznych, do tej pory wszystko działało jako translacja adresów nat. Chciałbym mieć możliwośc przydzielenia konkretnym komputerom w sieci adresów publicznych najlepiej przez dhcpi No to daj. teraz .... hym jak to zrobić ??? . Myślałem o jakimś bridge-u z dhcp, nie wiem czy dobrze kombinuje .... A po co? Jakiś przesąd, że w jednym segmencie muszą być adresy z jednej podsieci? p. Mariusz Wołek - 15 Cze 2007, 13:27
Witam Mam możliwośc otrzymania pewnej puli adresów publicznych, do tej pory wszystko działało jako translacja adresów nat. Chciałbym mieć możliwośc przydzielenia konkretnym komputerom w sieci adresów publicznych najlepiej przez dhcpi teraz .... hym jak to zrobić ??? . Normalnie. Tak samo jak dla prywatnych - na serwerze dhcp wpisujesz: adres mac kpomputera-adres publiczny. Jedyne co bedziesz potrzebowal zeby ci 2 rozne klay adresowe smigaly w tym samym segmencie sieci to przypisanie do portu routera 2 adresow - jeden publiczny a drugi prywatny Oczywiscie komputerom z adresem publicznm podajesz jako gateway publiczny ip routera, tym z prywatnym - prywatny ip routera. MaW Piotr Kulinski - 15 Cze 2007, 16:43 | Witam a strefy DMZ zrobic nie możesz na innym segmencie sieci ? dlaczego na innym segmencie? nic nie stoi żeby zrobił sobie DMZ w tym samym. Łukasz Bromirski - 15 Cze 2007, 17:14 | a strefy DMZ zrobic nie możesz na innym segmencie sieci ? dlaczego na innym segmencie? nic nie stoi żeby zrobił sobie DMZ w tym samym.n ...i bez funkcjonalności typu Private VLAN na przełączniku tworzącym ten segment otworzy się w ten sposób na całą miłą gamę ataków w L2 z zaatakowanego serwera. Słusznie, słusznie... adasiek - 16 Cze 2007, 09:57 Mam możliwośc otrzymania pewnej puli adresów publicznych, do tej pory wszystko działało jako translacja adresów nat. Chciałbym mieć możliwośc przydzielenia konkretnym komputerom w sieci adresów publicznych najlepiej przez dhcpi teraz .... hym jak to zrobić ??? . a nie mozesz na maszynie, ktora robi tego NAT-a dodac wpisy NAT 1-do-1? w ten sposob niektore komputery w sieci lokalnej beda sie komunikowaly ze swiatem adresami publicznymi, nic o tym nie wiedzac; adas; Mateusz Szultka - 17 Cze 2007, 04:07 | Mam możliwośc otrzymania pewnej puli adresów publicznych, do tej pory a nie mozesz na maszynie, ktora robi tego NAT-a dodac wpisy NAT 1-do-1? adas; Dokładnie, popieram to samo rozwiązanie. NAT 1-do-1 w tym przypadku będzie chyba najrozsądniejszy. Jeśli to linuch, robisz to na takiej zasadzie: Analogicznie dla kolejnych hostów. Pilu - 17 Cze 2007, 05:39 Dokładnie, popieram to samo rozwiązanie. NAT 1-do-1 w tym przypadku będzie chyba najrozsądniejszy. Jeśli to linuch, robisz to na takiej zasadzie: ale to powiększa tablicę conntrack. Po cholerę serwer ma sledzić połączenia z ip publicznych. W miarę prosto i bez straty ip-ków można to zrobić na pppoe. Pilu adasiek - 17 Cze 2007, 09:47 | teraz .... hym jak to zrobić ??? . Myślałem o jakimś bridge-u z A po co? Jakiś przesąd, że w jednym segmencie muszą być adresy jak sobie wyobrazasz podpiecie tego segmentu do routera? mozna to pewnie zrobic odpowiednio wieksza liczba linkow, ale pewnie nie o to chodzi; zatem, jezeli juz pozostaniemy przy jednym linku miedzy zdaje sie, ze mozna to rozwiazac na dwa sposoby: jezeli cos znacznie pomylilem, to prosze o rozjasnienie; adas; Mariusz Wołek - 17 Cze 2007, 10:09 | teraz .... hym jak to zrobić ??? . Myślałem o jakimś bridge-u z | A po co? Jakiś przesąd, że w jednym segmencie muszą być adresy jak sobie wyobrazasz podpiecie tego segmentu do routera? Normalnie. Interfejsowi routera dajesz adresy 2 IP - jeden prywatny a drugi publiczny MaW adasiek - 17 Cze 2007, 10:15 | teraz .... hym jak to zrobić ??? . Myślałem o jakimś bridge-u z | A po co? Jakiś przesąd, że w jednym segmencie muszą być adresy | jak sobie wyobrazasz podpiecie tego segmentu do routera? Normalnie. Interfejsowi routera dajesz adresy 2 IP - jeden prywatny a adas; Mariusz Wołek - 17 Cze 2007, 13:55 | | teraz .... hym jak to zrobić ??? . Myślałem o jakimś bridge-u z | A po co? Jakiś przesąd, że w jednym segmencie muszą być adresy | jak sobie wyobrazasz podpiecie tego segmentu do routera? | Normalnie. Interfejsowi routera dajesz adresy 2 IP - jeden prywatny a i naprawde nie bedzie problemu, jak komputery z tych dwoch podsieci bedzie wolniej niz przy komunikacji miedzy komputerami z adresami ip z tego samego segmentu ale poza tym bez problemu MaW Grzegorz Janoszka - 17 Cze 2007, 14:31 | A po co? Jakiś przesąd, że w jednym segmencie muszą być adresy | z jednej podsieci? | jak sobie wyobrazasz podpiecie tego segmentu do routera? | Normalnie. Interfejsowi routera dajesz adresy 2 IP - jeden prywatny a | drugi publiczny i naprawde nie bedzie problemu, jak komputery z tych dwoch podsieci beda sie ze soba chcialy komunikowac? przeciez ten ruch bedzie szedl przez router, a dokladniej wchodzil i wychodzil tym samym interfejsem; oczywiscie w sytuacji braku dodatkowych tras na tych komputerach; No i? adasiek - 19 Cze 2007, 17:42 | | A po co? Jakiś przesąd, że w jednym segmencie muszą być adresy | | z jednej podsieci? | jak sobie wyobrazasz podpiecie tego segmentu do routera? | Normalnie. Interfejsowi routera dajesz adresy 2 IP - jeden prywatny | a drugi publiczny | i naprawde nie bedzie problemu, jak komputery z tych dwoch podsieci | beda sie ze soba chcialy komunikowac? przeciez ten ruch bedzie szedl | przez router, a dokladniej wchodzil i wychodzil tym samym interfejsem; | oczywiscie w sytuacji braku dodatkowych tras na tych komputerach; No i? wiem, ze obsluga sieci w jadrze Linuks na to pozwala; tym niemniej spotykalem sie z opiniami (i nie byl to Pan Krzysztof z portierni), ze czesc urzadzen sieciowych nie umie tego robic, np. (byc moze stare) PIXy; ponizej jakies przykladowe linki z grup; czyzby byla to kolejna "urban legend", ktora zostala stworzona przez http://skocz.pl/routing1 - newsy z 2004 roku o PIXach http://skocz.pl/routing1 - newsy z 2002 roku o PIXach pzdrv; Grzegorz Janoszka - 19 Cze 2007, 18:45 | i naprawde nie bedzie problemu, jak komputery z tych dwoch podsieci | beda sie ze soba chcialy komunikowac? przeciez ten ruch bedzie szedl | przez router, a dokladniej wchodzil i wychodzil tym samym interfejsem; | oczywiscie w sytuacji braku dodatkowych tras na tych komputerach; | No i? wiem, ze obsluga sieci w jadrze Linuks na to pozwala; tym niemniej spotykalem sie z opiniami (i nie byl to Pan Krzysztof z portierni), ze czesc urzadzen sieciowych nie umie tego robic, np. (byc moze stare) PIXy; ponizej jakies przykladowe linki z grup; No ale co ma plemnik do wiatraka? Pytasz o Linuxa czy o archaiczne PIXy? Zresztą nie spotkałem urządzenia, które nie potrafiłoby przerutować pakietu na interfejs, którym przyszedł... no może poza ubikacją :) Łukasz Bromirski - 20 Cze 2007, 06:32 wiem, ze obsluga sieci w jadrze Linuks na to pozwala; tym niemniej spotykalem sie z opiniami (i nie byl to Pan Krzysztof z portierni), ze czesc urzadzen sieciowych nie umie tego robic, np. (byc moze stare) PIXy; ponizej jakies przykladowe linki z grup; Akurat tak się składa, że PIX/ASA nie wypuści pakietu tym samym interfejsem, którym dotarł on do PIXa. Niezależnie od wersji softu i niezależnie od ustawienia mechanizmu uRPF na interfejsie. To wynika z podejścia do przetwarzania polityki bezpieczeństwa przez Łukasz Bromirski - 20 Cze 2007, 07:13 | wiem, ze obsluga sieci w jadrze Linuks na to pozwala; tym niemniej | spotykalem sie z opiniami (i nie byl to Pan Krzysztof z portierni), | ze czesc urzadzen sieciowych nie umie tego robic, np. (byc moze | stare) PIXy; ponizej jakies przykladowe linki z grup; Akurat tak się składa, że PIX/ASA nie wypuści pakietu tym samym interfejsem, którym dotarł on do PIXa. Niezależnie od wersji softu i niezależnie od ustawienia mechanizmu uRPF na interfejsie. ...zapomniałem tylko dodać, że da się to zmienić od softu 7.x - za pomocą polecenia 'same-security-traffic intra-interface': http://www.cisco.com/univercd/cc/td/doc/product/multisec/asa_sw/v_7_2... Grzegorz Janoszka - 20 Cze 2007, 14:09 Akurat tak się składa, że PIX/ASA nie wypuści pakietu tym samym interfejsem, którym dotarł on do PIXa. Niezależnie od wersji softu i niezależnie od ustawienia mechanizmu uRPF na interfejsie. To wynika z podejścia do przetwarzania polityki bezpieczeństwa przez No dobrze, ale poza Cisco istnieją inne religie na świecie :) Łukasz Bromirski - 20 Cze 2007, 16:04 | Akurat tak się składa, że PIX/ASA nie wypuści pakietu tym samym | interfejsem, którym dotarł on do PIXa. Niezależnie od wersji softu i | niezależnie od ustawienia mechanizmu uRPF na interfejsie. | To wynika z podejścia do przetwarzania polityki bezpieczeństwa przez | PIXa/ASA. No dobrze, ale poza Cisco istnieją inne religie na świecie :) Wspominaliście o PIXie, postarałem się po prostu uściślić ;) Łukasz Zemła - 20 Cze 2007, 16:10 | | teraz .... hym jak to zrobić ??? . Myślałem o jakimś bridge-u z | jak sobie wyobrazasz podpiecie tego segmentu do routera? i naprawde nie bedzie problemu, jak komputery z tych dwoch podsieci To ja też dodam, że nie będzie problemu :-) Nie będzie zderzeń czołowych, jeśli o nich myślisz - to jest droga dwujezdniowa z solidnym pasem zieleni :-). Takie rozwiązanie określa się terminem "router on a stick". Nawet Cisco wymienia je w CCNA jako najmniejkabelkożerny sposób na ruting pomiędzy VLAN'ami. Piotr KUCHARSKI - 21 Cze 2007, 09:23 | teraz .... hym jak to zrobić ??? . Myślałem o jakimś bridge-u z | dhcp, nie wiem czy dobrze kombinuje .... | A po co? Jakiś przesąd, że w jednym segmencie muszą być adresy | z jednej podsieci? jak sobie wyobrazasz podpiecie tego segmentu do routera? mozna to pewnie zrobic odpowiednio wieksza liczba linkow, ale pewnie nie o to chodzi; Yy? Przecież to ten sam segment będzie, jeden link. zatem, jezeli juz pozostaniemy przy jednym linku miedzy routerem a danym segmentem, to jak maja sie zachowywac pakiety pochodzace z komputerow o puli prywatnej, ktore chca przejsc do komputerow o puli publicznej w ramach tego samego segmentu? Normalnie się mają zachować, mają pójść do bramy domyślnej, ten sam interfejs fizyczny... co z tego? zdaje sie, ze mozna to rozwiazac na dwa sposoby: 1) dopisac im do tablic routingu, ze dana pula jest do osiagniecia bez udzialu bramy domyslnej - ale to glupie; Można. Nie jest głupie. Za to jest męczące. :) 2) niech sobie ida przez brame domyslna - niestety w tym wypadku problem pojawia sie na routerze; bo jak chcesz wytlumaczyc swojemu routerowi, ze pakiety pochodzace z interfejsu A ma pchac na interfejs A? W ogóle nie trzeba nic tłumaczyć. wiekszosc routerow nie bedzie tego umiala zrozumiec; Chyba twoich. p. Piotr KUCHARSKI - 21 Cze 2007, 09:25 wiem, ze obsluga sieci w jadrze Linuks na to pozwala; tym niemniej spotykalem sie z opiniami (i nie byl to Pan Krzysztof z portierni), ze czesc urzadzen sieciowych nie umie tego robic, np. (byc moze stare) PIXy; ponizej jakies przykladowe linki z grup; E, nie pisałeś nic o PIX-ach, które są... inne. :- czyzby byla to kolejna "urban legend", ktora zostala stworzona przez nieudoczych uzytkownikow CISCO i rozwinela sie jakos szczegolnie? Cisco jako takie od kiedy pamiętam (circa 12 lat) miało ip address secondary. PIX to co innego, Łukasz już wyjaśniał. p. Atak z sieci wew. mac FF:FF:.......FF dwie karty sieciowe i dwie sieci Przekierowanie z węwnętrznej sieci na.. wewnętrzną - IOS dongle wifi na USB -warunki pracy |