sslug-teknik team mailing list archive

Thread
Date

Sv: Firewall + Trafik shaping

To: sslug-teknik@xxxxxxxx
From: "Allan Christiansen" <allan@xxxxxxxxxxxxx>
Date: Sat, 29 Jan 2000 09:38:49 +0100
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
Newsgroups: sslug.teknik
Organization: SSLUG

hvad med at sætte linuxboxen op som bridge for det andet du foreslår kan
ikke lade sig gøre unden ændringer i routeren.

Allan Christiansen

"Henrik Denseje Pedersen" <HenrikP@xxxxxxxxxxxxxxx> skrev i en meddelelse
news:388BC2913D4.BA3FHENRIKP@xxxxxxxxxxxxxxx...
Hejsa..

Jeg er ved at sætte en firewall op for et firma men er løbet ind i lidt
problemer. I alle de tilfælde jeg har kunne finde på Internettet har
løsningen bestået af en linux box med 2 netkort, hvor man brugte et
"ægte" ip på det ene kort, og "fake" ( fx.192.168.x.x) ip'er på det
andet kort, som vender ind mod klienterne. Men i mit tilfælde har jeg
brug for at bruge ægte IP'er inde ved klienterne.

Vores setup :

Vi har af TeleDK modtaget dette adresse rum :
195.249.254.0/23 (195.249.254.1 - 195.249.255.254)

Routeren har vi sat til : 195.249.254.1
Alle servere har vi fra .254.2 - .254.20.

Min ide er at indsætte alle servere og klienterne inden for firewallen.

Router <---------------> Firewall <---------------> Klienter
 195.249.254.1     195.249.254.2  195.249.254.3      195.249.254.X

Hvor firewall maskinen har 2 netkort:

Router: 195.249.254.1 / 255.255.254.0
Nic 1 : 195.249.254.2 / 255.255.254.0
Nic 2 : 195.249.254.3 / 255.255.254.0
Klienter : 195.249.254.4.. / 255.255.254.0

Og så route / firewalle mellem de 2 netkort, men dette burde da ikke virke
da alle er på det samme subnet. Man kunne dele nettet op i nogen subnets
og så reservere et af subnettene til Router og Nic 1, men hvis man gør
dette kommer firewallen så ikke til at route alt trafikken mellem alle
subnettene ?

Da vores interne trafik består af 100 mbit og 1 gigabit linier vil det så
ikke sløve nettet meget hvis firewallen skulle route alt trafikken ?


Desuden er jeg interesseret i at høre om nogen har erfaring med trafik
shaping i sådan et setup, hvor man fx begrænser ftp trafik til 10 % af
liniens kapacitet.


Hvis nogen har erfaring i dette, eller kender internet sider om denne
problemstilling vil jeg meget gerne høre om det.


Med venlig hilsen

Henrik Pedersen
HenrikP@xxxxxx || HenrikP@xxxxxxxxxxxxxxxx
Tlf: 21 83 33 32

"I haven't failed. I've found 10,000 ways that don't work."
- Thomas Alva Edison (1847 - 1931)

References

Firewall + Trafik shaping
From: Henrik Denseje Pedersen, 2000-01-24