[mdk-re] подсети

[mdk-re] подсети

[Alexey]

Здравствуйте!

Извините за чайницкий вопрос, мне стыдно, но не могу никак разобраться, совсем заклинило.
Задача такая, сделать firewall. Сеть x.y.z.0/255.255.255.224, на gateway x.y.z.1 я его поставить не могу, там DOS :( и за него отвечает провайдер.
IP-адреса в сети надо оставить реальные, так начальство хочет.
Думаю, надо поставить машинку с двумя сетевушками, к одной подключить роутер, к другой всю сеть. В принципе все понятно, но заклинивание в том, что я никак не могу сообразить какие адреса-маски прописывать этим интерфейсам на  firewall-е. По идее, прочитав www.linux.org.ru:8100/books/HOWTO/IP-Subnetworking-HOWTО, стало понятно, что сеть можно разбить на подсети, причем разного размера. Но как это сделать в моем случае, совершенно туплю. Да и поэкспериментировать не совсем понятно как. Может кто подскажет?
А может и принципиально по-другому надо это организовать?


Алексей.


--

Re: [mdk-re] подсети

[Vyt]

On Fri, 27 Apr 2001 10:59:43 +0400
Alexey <aab2@chat.ru> wrote:

> Здравствуйте!
> 
> Извините за чайницкий вопрос, мне стыдно, но не могу никак разобраться,
> совсем заклинило.
> Задача такая, сделать firewall. Сеть x.y.z.0/255.255.255.224, на gateway

Firewall между чем и чем? Если шлюз->firewall->сеть, тогда понадобится
отдельная подсеть на каждую стрелочку. Поговорите с провайдером, 32 адреса
резать... Наш (WebPlus) выделил маленькую подсеть с 2-мя адресами (с 4-мя
- первый и последний нельзя использовать). У них, как правило, они есть
для таких случаев.

> x.y.z.1 я его поставить не могу, там DOS :( и за него отвечает
> провайдер.

А почему x.y.z.1? Не x.y.z.225?
Провайдер отвечает за комп из Вашей подсети? Под DOS? Может, поменять
провайдера?

> IP-адреса в сети надо оставить реальные, так начальство хочет.

Может, поменять начальство? Шутка :) Лучше попробовать объяснить, что
решения про адреса должен принимать сетевой администратор.

> Думаю, надо поставить машинку с двумя сетевушками, к одной подключить
> роутер, к другой всю сеть. В принципе все понятно, но заклинивание в

Вроде, да.

> том,
> что я никак не могу сообразить какие адреса-маски прописывать этим
> интерфейсам на  firewall-е. По идее, прочитав

Если провайдер даст еще подсеть, все понятно. Если делить сеть, то 2 бита
уйдет на подсеть между шлюзом и firewall'ом, остается 3... Вам хватит 6
адресов на сеть?

> www.linux.org.ru:8100/books/HOWTO/IP-Subnetworking-HOWTО, стало понятно,
> что сеть можно разбить на подсети, причем разного размера. Но как это
> сделать в моем случае, совершенно туплю. Да и поэкспериментировать не
> совсем понятно как. Может кто подскажет?
> А может и принципиально по-другому надо это организовать?

Очень советую оставить в сети только сервера, а клиентов посадить за
прокси.

> 
> 
> Алексей.
> 
> 
> --
> 
> _______________________________________________
> Mandrake-russian mailing list
> Mandrake-russian@altlinux.ru
> http://altlinux.ru/mailman/listinfo/mandrake-russian
> 


-- 
Regards, Vyt
mailto:vyt@vzljot.ru

Re: [mdk-re] ÐÏÄÓÅÔÉ

[Sergey Rostopchin]

Hello Alexey,

A> Извините за чайницкий вопрос, мне стыдно, но не могу никак разобраться, совсем заклинило.

Бывает :)

A> Задача такая, сделать firewall. Сеть x.y.z.0/255.255.255.224, на gateway x.y.z.1 я его поставить не могу, там DOS :( и за него отвечает провайдер.

А ДОС то как этим может заниматься ?? Ну может я чего не
знаю в этой жизни ...

A> IP-адреса в сети надо оставить реальные, так начальство хочет.
A> Думаю, надо поставить машинку с двумя сетевушками, к одной подключить роутер, к другой всю сеть. В принципе все понятно, но заклинивание в том, что я никак не могу сообразить какие адреса-маски
A> прописывать этим интерфейсам на  firewall-е. По идее, прочитав www.linux.org.ru:8100/books/HOWTO/IP-Subnetworking-HOWTО, стало понятно, что сеть можно разбить на подсети, причем разного размера.
A> Но как это сделать в моем случае, совершенно туплю. Да и поэкспериментировать не совсем понятно как. Может кто подскажет?
A> А может и принципиально по-другому надо это организовать?

Да нет, все правильно ты думаешь. У тебя два пути. Попросить
провайдера выделить тебе сетку из 4-х адресов на соединение с между
ихним и твоим роутерами. Или твою сеть разбить скажем на три подсети
по 8 адресов в каждой (или на две по 16). Это зависит от того сколько
у тебя машин. Одну подсеть на внешнее соединение, а все остальное
внутрь.

 Sergey

[mdk-re] Re: [mdk-re] подсети

[Alexey]

On Fri, 27 Apr 2001 14:31:28 +0400
Vyt <vyt@vzljot.ru> wrote:


V> Если провайдер даст еще подсеть, все понятно. Если делить сеть, то 2 бита
V> уйдет на подсеть между шлюзом и firewall'ом, остается 3... Вам хватит 6
V> адресов на сеть?

Ааа, я кажется начинаю понимать, при разбиении каждый раз 2 адреса вылетают с каждой стороны.
И даже если я разберусь в этих битах в механизме разбивания, разобью, объединю оставшиеся кроме маленькой внешней в одну,
меня это не спасет, так как адресов останется мало :(((
Ладно, в перспективе все равно провайдера менять, наш вроде отказывается от бизнеса по выделенкам, тогда и поставлю нормальный гэтвэй. Просто что-то начальство захотело немедленно firewall.

спасибо всем,
Алексей

P.S. А на роутере действительно ДОС стоит. С 96 года. Я совершенно не понимаю, как они ухитрились, но это факт.
 
--

Re: [mdk-re] Re: [mdk-re] подсети

[Vyt]

On Fri, 27 Apr 2001 17:23:05 +0400
Alexey <aab2@chat.ru> wrote:

> On Fri, 27 Apr 2001 14:31:28 +0400
> Vyt <vyt@vzljot.ru> wrote:
> 
> 
> V> Если провайдер даст еще подсеть, все понятно. Если делить сеть, то 2
бита
> V> уйдет на подсеть между шлюзом и firewall'ом, остается 3... Вам хватит
6
> V> адресов на сеть?
> 
> Ааа, я кажется начинаю понимать, при разбиении каждый раз 2 адреса
> вылетают с каждой стороны.

Сейчас продают великолепные книги, здоровенные (A4) энциклопедии, на тему
сетей. К сожадению, они дома, если нужно, посмотрю, как точно называются.
Так вот, я оттуда даже немного в теорию очередей въехал :) Немного - в
силу ограниченности, описано, IMHO, очень хорошо.

> И даже если я разберусь в этих битах в механизме разбивания, разобью,
> объединю оставшиеся кроме маленькой внешней в одну,
> меня это не спасет, так как адресов останется мало :(((
> Ладно, в перспективе все равно провайдера менять, наш вроде отказывается
> от бизнеса по выделенкам, тогда и поставлю нормальный гэтвэй. Просто

Заинтересованный в клиенте провайдер (проверено переговорами :)
выделит необходимые диапазоны и предложит еще, было бы зачем.

> что-то начальство захотело немедленно firewall.

Забавно звучит ;) Иногда ко мне приходят и просят адрес. Просто адрес :)
Приходится предлагать на выбор: e-mail, www, ftp :)
Простите за оффтопик.

<skipped>

-- 
Regards, Vyt
mailto:vyt@vzljot.ru

[mdk-re] Re: [mdk-re] Re: [mdk-re] подсети

[Alexey]

On Fri, 27 Apr 2001 17:39:39 +0400
Vyt <vyt@vzljot.ru> wrote:


 
V> Сейчас продают великолепные книги, здоровенные (A4) энциклопедии, на тему
V> сетей. К сожадению, они дома, если нужно, посмотрю, как точно называются.
V> Так вот, я оттуда даже немного в теорию очередей въехал :) Немного - в
V> силу ограниченности, описано, IMHO, очень хорошо.

Было бы очень здорово. Может и в рассылке кому пригодились, не только мне.

--

Re: [mdk-re] Re: [mdk-re] Re: [mdk-re] подсети

[Vyt]

On Fri, 27 Apr 2001 18:00:02 +0400
Alexey <aab2@chat.ru> wrote:

> On Fri, 27 Apr 2001 17:39:39 +0400
> Vyt <vyt@vzljot.ru> wrote:
> 
> 
> 
> V> Сейчас продают великолепные книги, здоровенные (A4) энциклопедии, на
тему
> V> сетей. К сожадению, они дома, если нужно, посмотрю, как точно
называются.
> V> Так вот, я оттуда даже немного в теорию очередей въехал :) Немного -
в
> V> силу ограниченности, описано, IMHO, очень хорошо.
> 
> Было бы очень здорово. Может и в рассылке кому пригодились, не только
мне.

Нашел наконец-то :)
Издательство "Питер" www.piter-press.ru
Автор Максим Кульгин
Энциклопедия "Технологии корпоративных сетей"
ISBN 5-314-00063-6
Рекомендую ознакомиться хотя-бы с оглавлением :)
Кстати, размерчик все-таки меньше A4

<skipped>

-- 
Regards, Vyt
mailto:vyt@vzljot.ru