nixp.ru v3.0

17 января 2017,
вторник,
13:56:24 MSK

DevOps с компанией «Флант»
leonnash написал 7 ноября 2003 года в 19:56 (632 просмотра) Ведет себя неопределенно; открыл 5 тем в форуме, оставил 7 комментариев на сайте.

Есть:

FreeBSD 5.1

Две сетевухи Planet (Rl8139)

Надо:

файрвол и маршрутизатор

1. В манах сетевухи называются fxp0, fxp1… у меня в sysinstall они называются rl0, rl1

Как мне их называть (когда я пишу конфиг) ?

2. В sysinstall он видит rl0 и rl1. Присваиваю им ip 10.178.3.1 и 10.178.3.2. Выхожу (перегружаюсь). первый ip пингуется, второй молчит. Как быть ?

Master
leonnash
1. В манах сетевухи называются fxp0, fxp1… у меня в sysinstall они называются rl0, rl1

Как мне их называть (когда я пишу конфиг) ?


так как они называются у тебя в sysinstall

2. В sysinstall он видит rl0 и rl1. Присваиваю им ip 10.178.3.1 и 10.178.3.2. Выхожу (перегружаюсь). первый ip пингуется, второй молчит. Как быть ?


покажи вывод ifconfig -a

Dmitry Ivanov
leonnash
Есть:

FreeBSD 5.1

Две сетевухи Planet (Rl8139)

Надо:

файрвол и маршрутизатор

1. В манах сетевухи называются fxp0, fxp1… у меня в sysinstall они называются rl0, rl1

Как мне их называть (когда я пишу конфиг) ?

как rl

Вообще названия сетевух следует прояснять, сделав

view /sys/i386/conf/LINT

2. В sysinstall он видит rl0 и rl1. Присваиваю им ip 10.178.3.1 и 10.178.3.2. Выхожу (перегружаюсь). первый ip пингуется, второй молчит. Как быть ?

М-м-м-м… а какие маски ставишь?

leonnash

>> покажи вывод ifconfig -a

раньше понедельника не смогу :(

>> М-м-м-м… а какие маски ставишь?

255.255.255.0 — на оба интерфейса (как и во всей сети)

Dmitry Ivanov
leonnash
>> М-м-м-м… а какие маски ставишь?

255.255.255.0 — на оба интерфейса (как и во всей сети)

При такой нумерации у тебя оба интерфейса в одной сети получаются.

Что есть несколько странно. Так что неудивительно, что системе крышу сносит. ;)

anonymous

ifconfig -a говорит

по первой

….

nocarier

по второй

active

devost

Dmitry Ivanov тебе правильно подсказал, ip-адреса должны находиться в разных сетях, иначе что куда ты будешь маршрутизировать?

blacklion

nocarier означает что нет несущей. проверить сетевой кабель

Dmitry Ivanov
blacklion
nocarier означает что нет несущей. проверить сетевой кабель

Сэр, а на фига там вообще нужен сетевой кабель для пингования локального интерфейса ? ;)

blacklion

меня настройки интерфейсов в этом случае глубоко не интересуют. я всего лишь дал дескрипцию понятия.

ЗЫ: чтобы не было сомнений — ничего не мешает двум сетевухам работать в одном «пространстве». видел сам

leonnash

дык , ставлю разные сети (10.178.3.4 и 10.0.0.1, маски — 255.255.255.0 (кста, где взять нормальную доку о том, зачем нужны маски подсеетей) )тогда работает, иначе не видит одной сетюхи :(

Dmitry Ivanov
leonnash
дык , ставлю разные сети (10.178.3.4 и 10.0.0.1, маски — 255.255.255.0 — тогда работает, иначе не видит одной сетюхи :(

Ну дык…

leonnash
кста, где взять нормальную доку о том, зачем нужны маски подсеетей

Книги купить почитать. Или еще можно на citforum.ru сходить.

PS: и вообще-то обычно сначала читают и выясняют зачем и какие, а потом уже лезут настраивать.

Dmitry Ivanov
blacklion
меня настройки интерфейсов в этом случае глубоко не интересуют. я всего лишь дал дескрипцию понятия.

ЗЫ: чтобы не было сомнений — ничего не мешает двум сетевухам работать в одном «пространстве». видел сам

1) Интересно, а выдача понятий, совершенно не относящихся к вопросу — это что, верх интеллекта?

2) Могут. При дополнительных настройках. Если еще объяснить самому себе и окружающим, на кой черт такое нужно.

blacklion

А1. понятие «отсутствие несущей» непосредственно относится к администированию сетей.

А2. оно упоминалось в вопросе

А3. я нигде не декларировал превосходство своего интеллекта над чьим либо еще

B1. это вопрос второй уже. однако когда говорят что такое неработает и имея противоположные данные и наличие желания следует просвятить вопрощающих на предмет своего опыта

Dmitry Ivanov
blacklion
А1. понятие «отсутствие несущей» непосредственно относится к администированию сетей.

Оно не относится к сути вопроса. Ты человека только запутаешь.

leonnash

спасибо всем, разобрался :)

мануалы найду сам, а грить, купи книжку и прочитай — нечего. можешь сказать — скажи. нет — ничего не говори. :(

anonymous
blacklion
чтобы не было сомнений — ничего не мешает двум сетевухам работать в одном «пространстве». видел сам


Dmitry Ivanov
2) Могут. При дополнительных настройках. Если еще объяснить самому себе и окружающим, на кой черт такое нужно.

такое нужно. можно поподробнее, плз — или урл, где можно прочитать, или man чего ?

Dmitry Ivanov
leonnash1
такое нужно. можно поподробнее, плз — или урл, где можно прочитать, или man чего ?

Давай сначала выясним зачем такое нужно. Рассказывай.

anonymous

есть:

корпоративная сеть, мне дали ip — 10.178.3.1

маршрутизатор (cisco) подключен через модем — далее включен 3com — и к нему остальная сеть

в сети статические ip 10.178.3.0/24

надо: поставить файрвол между моей сетью и корпоративной

хочу: подлючить в разрыв между циской и 3com freebsd (через crossover) и на нем поднять ipfw

но: тогда freebsd ставим ip 10.178.3.2, а на второй интерфейс надо уже выставлять другую сеть

вот тут и возникает проблема. в сети 70 машин со статическими ip 10.178.3.0/24 — придется ходить на каждую машину и менять адреса, хотя я думаю сейчас поднять dhcp — и потом в dhcp поменять выдаваемые адреса на другую подсеть

учтонения:

1. маршрутизатор этот обслуживает вышестоящий админ и ему влом настраивать фильтры на нем, причем пароль на циску я не знаю — а он говорить не хочет, :(

2. есть желание конкретно разобраться, что за зверь такой freebsd и что он может.

3. сервак (основной) стоит на win2k_serv — к нему претензий больших нет, работает как часы. но винды есть винды — иногда все ж падает

4. к тому ж в сети есть сервисы, например (irc, icq — корпоративные), которые очень желательно перевести на unix платформу, например для линковки icq серверов — в виндах я такой возможности не нашел, а вот под unix есть такой сервак.

5. и попутно вопрос.

есть: дохлый канал в инет

хочу: несколько машин что б постоянно висели в icq (только не корпоративной, а инетовской)

вопрос: есть ли icq сервер который можно подлинковать к основному icq серверу (тот, который в инете)

fly4life

Три раза перечитал и что-то ничего не понял. Может просто наночь глядя туго соображаю… ;)

> маршрутизатор (cisco) подключен через модем — далее

> включен 3com — и к нему остальная сеть

> в сети статические ip 10.178.3.0/24

Куда подключён маршрутизатор через модем?! Что такое 3com?

> надо: поставить файрвол между моей сетью и корпоративной

Что есть твоя сеть и что есть корпоративная? Подробнее…

> хочу: подлючить в разрыв между циской и 3com freebsd

> (через crossover) и на нем поднять ipfw

Вот это вооще не понял. Если ты хочешь поставить FreeBSD между циской и 3com, то причём тут crossover?!

Вобщем, разъясни обстановку подробней, плз.

Genie

Начнем с последних :)

Вот это вооще не понял. Если ты хочешь поставить FreeBSD между циской и 3com, то причём тут crossover?!

3com — это, видимо свитч/хаб.

Собственно, человек включает напрямую отдельным патч-кордом (перекрестный, или, что тоже самое, но на англицком, crossover) cisco и freebsd.

Далее. cisco по большей части не столько router, сколько и bridge. Вот и хочется человеку freebsd поставить как bridge между двумя сегментами — в одном — кошка с фрёй, в другом — фря + сетка по 3com-ному свитчу/хабу.

видимо, насколько я помню, здесь нужно правильно инициализировать интерфейсы…

до кошки — это будет 10.178.3.0/30 (поэтому 10.178.3.3 придётся освободить), точнее так.. кошка будет *.1, фря — *.2 и *.4, остальная сетка — 10.178.3.0/24, при этом адреса *.5 — *.254, шлюз у них *.4.

*.1 — *.3 с компов сетки не будут доступны.

у фри основной шлюз — кошка.

Dmitry Ivanov

Это не объяснение, это издевательство над читателями.

У нас в ВУЗе если студент так объяснял исходные данные задачи — это была гарантированная несдача.

leonnash

вот рисунок сети, которую я так хреново описал

http://www.103001.by.ru/leonnash.gif

fly4life
leonnash
вот рисунок сети, которую я так хреново описал

http://www.103001.by.ru/leonnash.gif

Хм, а что мешает поставить FreeBSD между твоей сетью и 3com’ом? Так будет проще всего.

Т.е. получится, что на фряхе ты поднимешь два интефейса. Одному из них присвоишь IP из уже существующего диапазона адресов (10.178.3.х), а второму интерфесу присвой IP 10.178.4.1/24 и включи в него «свою» сеть. Только там (в своей сети) IP’шники смени с 10.178.3.0/24 на 10.178.4.0/24.

Dmitry Ivanov
leonnash
вот рисунок сети, которую я так хреново описал

http://www.103001.by.ru/leonnash.gif

Резюме:

1) существует корпоративная сеть 10.178/16

2) существует ваша сеть, которой выделено 10.178.3/24

3) подключение к КС осуществляется через маршрутизатор Cisco, при этом со стороны вашей сети у него на интерфейсе выставлен адрес 10.178.3.1/24

4) Cisco вами не управляется

(Между прочим, 3Com, как и интерфейс циски, который в него воткнут — в вашей сети, а не где-то там отдельно)

Теперь вопросы:

Кто такой 3Com и кто им управляет?

Теперь решение: писать служебку. Или забить.

Dmitry Ivanov
fly4life
Хм, а что мешает поставить FreeBSD между твоей сетью и 3com’ом? Так будет проще всего.

Т.е. получится, что на фряхе ты поднимешь два интефейса. Одному из них присвоишь IP из уже существующего диапазона адресов (10.178.3.х), а второму интерфесу присвой IP 10.178.4.1/24 и включи в него «свою» сеть. Только там (в своей сети) IP’шники смени с 10.178.3.0/24 на 10.178.4.0/24.

А маршрутизироваться все это как будет? То есть если он такое сделает и его в награду выгонят — то будут правы. И вообще — 3Com наверняка просто свитч. Он тут вообще ни к селу ни к городу упомянут

fly4life
Dmitry Ivanov
А маршрутизироваться все это как будет? То есть если он такое сделает и его в награду выгонят — то будут правы.

Да ну. Это всё будет маршрутизироваться ровно так же, как в любом другом случае подключения фряхи на линии от модема до «его» сети. В чём проблема-то?

А как ты предлагаешь ему разрулить всё это дело, что он затеял?!

Dmitry Ivanov
И вообще — 3Com наверняка просто свитч. Он тут вообще ни к селу ни к городу упомянут

Свитч? С выделенным IP?

Dmitry Ivanov
Genie
Далее. cisco по большей части не столько router, сколько и bridge.

С какого такого перепугу? Классический рутер.

Genie
видимо, насколько я помню, здесь нужно правильно инициализировать интерфейсы…

до кошки — это будет 10.178.3.0/30 (поэтому 10.178.3.3 придётся освободить), точнее так.. кошка будет *.1, фря — *.2 и *.4, остальная сетка — 10.178.3.0/24, при этом адреса *.5 — *.254, шлюз у них *.4.

*.1 — *.3 с компов сетки не будут доступны.

у фри основной шлюз — кошка.

Ну просто потрясающе, как мы с IP обращаемся.

И как же это киска отправит пакет на 10.178.3.246, например?

Dmitry Ivanov
fly4life
Свитч? С выделенным IP?

Что, свитчи не имеют права иметь в себе IP/SSH/Telnet/WWW/SNMP? Так, а с чем же мы тут тогда работаем? ;)))))

Вообще-то, неуправляемые свитчи давно уже вымерли как класс.

Dmitry Ivanov
fly4life
Да ну. Это всё будет маршрутизироваться ровно так же, как в любом другом случае подключения фряхи на линии от модема до «его» сети. В чём проблема-то?

А как ты предлагаешь ему разрулить всё это дело, что он затеял?!

То есть никак. Фряху можно поставить только ВМЕСТО Cisco в такой конфигурации. Потому что нельзя дробить сеть — этого не поймет циска.

fly4life
Dmitry Ivanov
Что, свитчи не имеют права иметь в себе IP/SSH/Telnet/WWW/SNMP? Так, а с чем же мы тут тогда работаем? ;)))))

Вообще-то, неуправляемые свитчи давно уже вымерли как класс.

Ладно, с этим разобрались.

Dmitry Ivanov

 Чтобы быть до конца честным…  вот некоторый вариант…

   исходную сеть делим на  10.178.3.0/30 и 10.178.3.128/25 (теряем часть адресов)

 Клиентов сгоняем в 3.128/25, циска будет в 3.0/30

 У клиентов шлюзом будет бсдя. Клиентам будет хорошо — они про извраты не узнают.

Тогда осталось изобразить на интерфейсе бсди, которым она смотрит на циску что-то типа proxyarp, чтобы хапать все пакеты, которые циска будет отправлять в 3.0/24. То есть она будет для циски изображать из себя все  хосты в 3.128/25 (по протоколу ARP)

Куда и что писать для этого — надо read manual.

PS: В общем, так сделать можно, но не нужно.

fly4life
Dmitry Ivanov
То есть никак. Фряху можно поставить только ВМЕСТО Cisco в такой конфигурации. Потому что нельзя дробить сеть — этого не поймет циска.

Чего не поймёт циска?! Не поймёт маршрутов внутрь «его» сети? Ну и фиг с ним! Если бы из корпоративной сети нужен был бы доступ в «его» сеть, то вопрос о надобности файерволла не поднимался бы (я так думаю). Хотя, впринципе, если что-то там и понадобится, то НАТом можно спокойно разрулить. И от циски в этом случае ничего не будет зависеть (всё будет зависеть только от настроек фряхи).

Dmitry Ivanov
fly4life
Чего не поймёт циска?! Не поймёт маршрутов внутрь «его» сети? Ну и фиг с ним! Если бы из корпоративной сети нужен был бы доступ в «его» сеть, то вопрос о надобности файерволла не поднимался бы (я так думаю).

Вообще-то я мнения админа его КС здесь не видел. так что думать мы можем все, что угодно, но вот делать надо с большой оглядкой.

Учитывая, что автор треда полный чайник в сетях — я не стал бы закладываться на его мнение о необходимости firewall’а. Равно как и на мысли о подмене адресного пространства.

В общем, если разводить бардак — то его надо минимизировать.

Genie

Dmitry,

cisco может выполнять роль bridge. хотя и является router. Естественно, что так не делают по науке, но тем не менее — в этом состаянии она работает. Лично мной была на 1601 настроена довольно-таки хитрая операция переадресовки части зоны LAN обратно на один из хостов в WAN. Получалось типа двух сегментов одной сети, и работало это дело замечательно. Рисовать схемку — лениво :))

У ядра линуха есть опции, чтобы стать в позу bridge-а. Почемуб и у фри тому не быть?

А что станет кошке-то в предложенной мною схеме? включаем promisc на сетевушке во фре — и все шоколадно.

Изврат? Ну да. Еще какой. Но — работать будет.

Dmitry Ivanov
Genie
Dmitry,

cisco может выполнять роль bridge. хотя и является router.

Ну тут она рутер. А вот про извраты в следующей моей мессаге. ;)

Кстати, а сам по себе promisc вряд ли чем поможет. Еще надо объяснить фряхе, что с этим пакетом дальше делать.

Dmitry Ivanov

Тут на выходных навели на мысль…

Если Фрю поставить как бридж, то ее ipfw все равно будет пакеты гонять через себя аж до уровня IP и будет полноценный файервол. Быстрое чтение доков противоречий не выявило.

PS: Bridge Layer 3 ? ;)

leonnash

всем спасибо,

нужно человеческое описание масок подсетей — (типа, какие сети чего будут видеть) — например мой маршрутизатор — 10.178.3.1 — я так понимаю с моей стороны у него маска 255.255.255.0 а с другой стороны, смотрящей в КС — другая.

буду через месяц — сессия

всех с праздником

ecobeingecobeing.ru
Экология и вегетарианство на благо всем живым существам Планеты.