viac default routov

Dan Lukes dan at obluda.cz
Fri Dec 5 21:11:19 CET 2003

Previous message: viac default routov
Next message: viac default routov
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Stefan Valastan wrote:

 > No hovori sa ze jeden obrazok napovie viac ako tisic slov tak to 
skusim nakreslit


     Ten obrazek se sice ponekud rozsypal, ale dohromady s textem je to 
uz jasnejsi.

 > -------
 >    ------                                      192.168.1.1    |    | 
xxx.xxx.xxx.xxx
 >    |       | -192.168.1.22 ---------------------------- |FW1|----------
 >    |       |    |         |
 >    |       |-192.168.2.22---|             ------             --------
 >    ------                           |            |        | 
yyy.yyy.yyy.yyy
 >                                      |--------  |FW2 |-----------
 >                                192.168.2.1|         |
 >                                                    ------



     Takze, jestli to spravne chapu, klienti "z venku" se pripojuji na 
adresu xxx.xxx.xxx.xxx pripadne yyy.yyy.yyy.yyy. Firewally nejakym 
nepopsanym zpusobem (ten ale patrne neni podstatny) zajistuji, ze pri 
vypadku jednoho z nich si klienti prestanou vyborat z techto dvou adres 
a zacnou pouzivat jen jednu.

     Firewall zaridi, ze paket je dorucen na vnitrni server, ktery ma 
adresu nesouvisejici s puvodni cilovou adresou paketu.

     A vy chcete, aby paket, kterym server odpovi na dotaz, odesel ven 
pres stejny FWx a stejny vnejsi interface.

     Za predpokladu, ze server pouzije jako zdrojovou adresu odpovedi 
stejnou adresu jako byla cilova adresa dotazu, pak potrebujete odchozi 
paket smerovat na zaklade ZDROJOVE nikoli CILOVE adresy.

     Klasicky routing ale funguje zasadne na zaklade cilove adresy. To 
co by nam problem resilo je "source routing" (konkretne loose source 
route) - jenze, ten musi byt zaprve povolen (a to defaultne neni), za 
druhe, vlozeni takove informace do paketu si musi, alespon mam ten 
dojem, vyzadat primo aplikace - a ta to, predpokladam, nedela a neumi.

     Nicmene, neni treba zoufat zcela. "Rucni" smerovani paketu lze 
ovladat take pomoci "ipfw", konkretni akce, ktera nas zajima je 
"forward". To co potrebujeme je na serveru nastavit pravidlo, ze pakety 
majici konkretni zdrojovou adresu budou forwardovany na IP adresu 
patricneho FWx.

     Bohuzel, pokud pouzity protokol nebo server v odpovedi nezachovava 
shodnou zdrojovou IP adresu jako byla cilova adresa dotazu (coz je spise 
mene obvykle) pak uloha nema reseni. Nebo ho alespon neznam.

                         Dan

Previous message: viac default routov
Next message: viac default routov
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list