Security Teams



:::
Страницы: (2) [1] 2  ( Перейти к первому непрочитанному сообщению ) Ответ в темуСоздание новой темыСоздание опроса

> Проблемы маршрутизации, Извращенная конфигурация сети
Dimon
Дата 1.02.2009 - 18:19
Цитировать сообщение
Offline



Editors
****

Профиль
Группа: -editors-
Сообщений: 446
Пользователь №: 17
Регистрация: 18.02.2005



Рейтинг:
(60%) XXX--


Доброго времени суток, aLL

Есть наша сеть 10.5.9.0/24 из которой взят адрес 10.5.9.1 вышестоящей организацией для обмена трафиком с ними. Хочется воткнуть между моей сетью - 10.5.9.0 и линком 10.5.9.1 полноценный фаервол на линухе например, дабы иметь возможность блокировать порты/хосты с той сети к нам.
Все это "счастье" с нашей стороны крутится на Nortel BayStack 5510, линк 10.5.9.1 коммутируется на него же.
Изменить в данной схеме что-либо - не в моих силах - бюрократия и маразм...
Каким наиболее простым образом можно реализовать все это - средствами свича (VLAN например), линуха, еще как?


--------------------
Dmitry Panoff aka Dimon
Registered Linux user N330143
2:465/213.86@Fidonet
I can read OpenOffice.org. documents
PMICQ
Top
rudy
Дата 1.02.2009 - 19:39
Цитировать сообщение
Offline



Activist
**

Профиль
Группа: -users-
Сообщений: 132
Пользователь №: 1395
Регистрация: 5.09.2005



Рейтинг:
(60%) XXX--


1. Ставишь Линуховый (или БСД, или на чем хочешь) шлюз на тот же свитч.
2. Прописываешь на нем (для Линуха):
ip route replace default via 10.5.9.1 dev eth0
3. Настраиваешь на нем файрвол, чтобы пакеты фильтровались так, как тебе надо.
4. На хостах своей сети прописывешь свой шлюз дефолтным гейтом.
5. На свитче создаешь 2 VLANa: 1) твоя сеть с твоим шлюзом; 2) 10.5.9.1 и твой гейт.
Результат:
- все твои хосты идут в общую сеть через твой шлюз.
- хосты извне твоей сети хостов внутри сети не видят. Если очень надо, чтобы видели, то надо сделать из шлюза фильтрующий мост (bridge-utils+ebtables)


--------------------
Best regards,
Igor A. Rudsky,
Prometheus Linux centre,
Vice director, Chief IT Officer
Rostov-on-Don, Russia
PM
Top
Dimon
Дата 1.02.2009 - 21:19
Цитировать сообщение
Offline



Editors
****

Профиль
Группа: -editors-
Сообщений: 446
Пользователь №: 17
Регистрация: 18.02.2005



Рейтинг:
(60%) XXX--


Спасибо за ответ.
То-есть, у одной сетевой, которая смотрит в мою сеть, будет адрес 10.5.9.х, у второй, которая смотрит на гейт, адрес 10.5.9.1 - я правильно понял? А как тогда будет маршрутизация на линухе осуществляться, коли оба адреса на сетевых из одной подсети?
Получается, что мне нужно делать маршрутизацию между двумя интерфейсами, которые принадлежат одной сети. Как это сделать правильно - вот этот момент непонятен...


--------------------
Dmitry Panoff aka Dimon
Registered Linux user N330143
2:465/213.86@Fidonet
I can read OpenOffice.org. documents
PMICQ
Top
rudy
Дата 2.02.2009 - 12:02
Цитировать сообщение
Offline



Activist
**

Профиль
Группа: -users-
Сообщений: 132
Пользователь №: 1395
Регистрация: 5.09.2005



Рейтинг:
(60%) XXX--


Разруливается это так:
пусть: eth0 - 10.5.9.2 - внешняя сеть
eth1 - 10.5.9.3 - внутренняя сеть.

Тогда:
ip route add 10.5.9.1 dev eth0 src 10.5.9.2 table 100
ip rule add to 10.5.9.1 table 100
задает таблицу роутинга и правило-селектор для использования этой таблицы

ip route replace 10.5.9.0/24 dev eth1 src 10.5.9.3
меняет роут в подсеть 10.5.9.0/24 на второй интерфейс.

Рекомендую внимательно проверить таблицы роутинга после внесения изменений.
См. ip route show

Второй вариант решения проблемы - встраивание фильтрующего бриджа между коммутатором и 10.5.9.1.


--------------------
Best regards,
Igor A. Rudsky,
Prometheus Linux centre,
Vice director, Chief IT Officer
Rostov-on-Don, Russia
PM
Top
Dimon
Дата 5.02.2009 - 13:03
Цитировать сообщение
Offline



Editors
****

Профиль
Группа: -editors-
Сообщений: 446
Пользователь №: 17
Регистрация: 18.02.2005



Рейтинг:
(60%) XXX--


Сделал следующим образом: на свиче VLAN'ами разделил порты и между ними вставил линуксовый бридж:
Код

ifconfig eth0 0.0.0.0
ifconfig eth1 0.0.0.0
brctl addbr mybridge0
brctl addif mybridge0 eth0
brctl addif mybridge0 eth1
brctl stp mybridge0 on

Вроде работает. Надо еще проверить фильтрацию - позже отпишусь...
Теперь еще задача: есть третья сеть: 10.5.209.0/24 - моя внутренняя. Поставил сетевую карточку на линуксовый бридж, но в сам мост не включал, и теперь вопрос: каким образом туда посылать пакеты с моста? Придется NAT с моста на эту сетевую делать, но не пойму толком как...


--------------------
Dmitry Panoff aka Dimon
Registered Linux user N330143
2:465/213.86@Fidonet
I can read OpenOffice.org. documents
PMICQ
Top
Kom@nd'Or
Дата 5.02.2009 - 22:30
Цитировать сообщение
Offline



Expert
******

Профиль
Группа: -editors-
Сообщений: 2078
Пользователь №: 48
Регистрация: 2.03.2005



Рейтинг:
(90%) XXXXX


Может в сети создать свой комп с адресом "10.5.9.1" а все сервисы пробросить на их комп, как пробрасываются пакеты на компы за ... и для безопасности сделать это можно через VPN ...


--------------------
--
Hайден неизвестный драйвер, воткните какое-нибудь устройство!
---
[b]Во имя процесса-отца, процесса-сына и святаго root"а... Enter! [/b]
PMICQYahoo
Top
rudy
Дата 7.02.2009 - 01:51
Цитировать сообщение
Offline



Activist
**

Профиль
Группа: -users-
Сообщений: 132
Пользователь №: 1395
Регистрация: 5.09.2005



Рейтинг:
(60%) XXX--


Зачем НАТ? Новая подсеть должна ходить как один хост?


--------------------
Best regards,
Igor A. Rudsky,
Prometheus Linux centre,
Vice director, Chief IT Officer
Rostov-on-Don, Russia
PM
Top
Dimon
Дата 7.02.2009 - 10:36
Цитировать сообщение
Offline



Editors
****

Профиль
Группа: -editors-
Сообщений: 446
Пользователь №: 17
Регистрация: 18.02.2005



Рейтинг:
(60%) XXX--


Сейчас в той сети только сетевые принтера, посему пока все равно как оно будет. Но в ближайшем будущем туда и компы будут включаться, поэтому вариант "прокси" не подходит.
Да, STP на бридже пришлось выключить ибо пошли конфликты с корневым роутером по вопросу "кто главней" smile.gif А выяснять-расставлять приоритеты нет ни времени не необходимости - петель вроде нет, сетка простая...


--------------------
Dmitry Panoff aka Dimon
Registered Linux user N330143
2:465/213.86@Fidonet
I can read OpenOffice.org. documents
PMICQ
Top
Dimon
Дата 9.02.2009 - 22:46
Цитировать сообщение
Offline



Editors
****

Профиль
Группа: -editors-
Сообщений: 446
Пользователь №: 17
Регистрация: 18.02.2005



Рейтинг:
(60%) XXX--


Значится так:
на eth0 висит сетка с принтерами - 10.5.209.0, адрес 10.5.209.1
Код

echo 1 >/proc/sys/net/ipv4/ip_forward
route add -net 10.5.209.0 gateway 10.5.209.1 dev eth0
route add default gateway 10.5.9.1 # для работы в интрасети других районов-областей


В итоге шлюзом управляю с помощью iptables - фильтруется весь трафик между картами моста => между сетями. Пакеты на сеть с принтерами из моей бегают. Чего и добивался.
rudy - большое спасибо за помощь. worthy.gif
Тему можно считать исчерпанной.


--------------------
Dmitry Panoff aka Dimon
Registered Linux user N330143
2:465/213.86@Fidonet
I can read OpenOffice.org. documents
PMICQ
Top
Septappossy
Дата 15.07.2009 - 08:19
Цитировать сообщение




Unregistered












Доброго времени суток, ситуация сделующего характера. Стояла у меня ось Ubuntu 8.04 server на винте размером 9Gb. И решил я её перенести на винт размером 40Gb.

Акронисом сделал образ поставил новый винт и развернул обратно. Всё работает, всё хорошо, только вот почему-то в webmine посих пор показывает, что у меня винт размером в 9Gb. Как это исправить ?

З.Ы. Восстановил правильно, ибо до этого переносил desktop с 40 на 250 и всё замечательно пренеслось.

За ранее спасибо...
Top

Опции темы Страницы: (2) [1] 2  Ответ в темуСоздание новой темыСоздание опроса