IPFW/NAT veřejné IP

Dan Lukes dan at obluda.cz
Sat Oct 8 22:39:35 CEST 2011


Milan Cizek wrote:
>>> na IGW říci, že mají jít na lokální IP, když neprochází NATem
>> (vlastně ani nemusí)
>>
>> No to samozrejme musi - chces aby paket odeslany na nejakou IP adresu
>> dorazil na nejakou uplne jinou, coz bez nejake formy prekladu zadnym
>> normalnim zpusobem nedosahnes.
>
> Musi? Kdyz jsem to psal, myslel jsem napr. na fwd pravidlo, ktere bych
> umistil pred divert ("vse na danou verejnou z LAN forwardi na privatni IP
> serveru").

To je nepochopeni forwardu (z me nebo tve strany, zatim predpokladam, ze 
z tve). Pokdu ja vim, tak "fwd" ten paket na cilovy stroj posle beze 
zmeny, tedy s tim, ze v nem zustane zapsana PUVODNI cilova adresa. Tim 
se to lisi od prekladu, ktery adresy prepisuje. Pokud adresu neprepises, 
pak prijimaci stroj paket zahodi, protoze vyhodnoti, ze mu paket 
nepatri. A i kdybys nejak zajistil, ze ho nezahodi, budes mit problem s 
pakety odeslanymi zpatky.

>> 1. Prirozenym resenim tohoto problemu je - proste vubec nedopustit aby
>> vzniknul. Jestli mas nejake servery, ktere maji byt verejne dostupne,
>> maji mit verejne adresy.
>
> Ano. Tohle reseni by bylo nejlepsi, nicmene sezere nejake ty verejne na
> spojovacky a brany, mam jich dost omezeny pocet (ale dost routeru...).

Verejne adresy mohou byt uplne klidne za spojovackami, ktere verejne 
adresy nemaji. Pokud ani tak s adresami nevystacis, je vhodny cas si 
rict o dalsi.

> Jde o to ze mam v LAN nejake mikrotiky, ktere umi forwardovat a zobrazovat
> klientum nejakou uvitaci page. Toto vsak bohuzel nefunguje v okamziku, kdy
> se web server nachazi na subnetech pro tyto mikrotiky primo zname.

Pak se zda, ze trivialnim resenim je proste ty dve veci ve spolecnem 
LANu nemit.

Takze VLAN nebo dalsi sitova karta.

Muzes se dokonce pokusit oba IP rozsahy nakonfigurovat na jedne 
nerozVLANovane sitove karte, ale obavam se, ze v takove "prasacke" 
konfiguraci nepujde zvladnout konfiguraci toho prekladu. Preci jen mas 
"vnitrni" i "vnejsi" interface tentyz.

> Jinymi slovy ten web server musi byt nekde "venku"

Presne to rikam - dalsi IP sit na hranicnim routeru zajisti, aby ten WWW 
server byl z pohledu tech Mikrotiku "venku". Ale prirozenejsi a tudiz 
potencialne mene rizikove reseni je skutecne to prvni - verejne dostupne 
servery maji mit verejne adresy.

> Snad jsem to napsal pochopitelne. :)

Obavam se ze ano - zda se, ze hlavni problem je, ze problem ma 
"standardni" reseni, jenze ta nejsou uplne bezplatna. Prvni chce rict si 
(a mozna zaplatit) dalsi verejne adresy, druhe (ktre uz je horsi) chce 
prinejmensim dalsi sitovou kartu do routeru nebo vymenit switch za 
nejaky co rozumi VLANum.

Mozna se nakonec nejakou "ojebavku" co nebude vyzadovat ani korunu navic 
najit podari, ale je otazka, jestli ti nejake obskurdni reseni za tu 
usporu stoji. Tu sit je potreba nejen postavit, ale taky udrzovat a 
treba v ni nekdy pozdeji hledat i nejake problemy a ja si myslim, ze se 
ti ta uspora celkove nevyplati.

Ale to uz je, samozrejme, na tobe.


Dan


More information about the Users-l mailing list