sslug-teknik team mailing list archive
-
sslug-teknik team
-
Mailing list archive
-
Message #26603
Re: Netmask primer ønskes
In <39A446CE.A16F960B@xxxxxxxxx> MONZ <monz@xxxxxxxxx> writes:
>Har læst en del i SUBNETTING-HOWTO + div. andre, meeen...
>Når jeg har en 10.0.0.0/255.0.0.0 dmz mellem router og firewall, kan det
>så ikke skabe problemer hvis jeg segmenterer med tre net på indersiden
>sådan:
> 10.1.0.0, 10.2.0.0, 10.3.0.0
Jo, det vil helt sikkert give dig problemer. Uanset hvad du sætter
netmasken til på de interne segmenter.
Dit router/firewall netværk er nødt til at være et andet IP netværk
end dine interne segmenter. Ellers kan du ikke lave routing imellem
dem. Jeg tegner lidt:
Router
|
|
Firewall
| | |
+-----------------------+ | +------------------------+
| | |
| | |
---+----------- ---------+---------- --------+--------
10.1.0.0/16 10.2.0.0/16 10.3.0.0/16
De tre interne netværk må ikke have overlappende IP adresser, d.v.s.
du skal vælge en netmaske der sikrer det. F.eks. en 16-bit netmaske,
d.v.s. 255.255.0.0. Så vil de tre netværk have IP adresser med
10.1.x.x, 10.2.x.x og 10.3.x.x - d.v.s. man (firewall'en) kan klart se
hvilket netværk en IP adresse tilhører, og så kan den også finde ud af
hvilket netkort den skal sende pakken ud på.
Og så nytter det ikke at dit firewall/router segment overlapper med de
interne IP adresser - så bryder hele det system jo sammen. Jeg ville
bruge et helt andet netværk til firewall/router segmentet, f.eks. et
192.168.1/24 netværk, så din firewall f.eks. er 192.168.1.2 og
routeren 192.168.1.1, med en netmaske på 255.255.255.0. Du har jo
næppe ret mange hosts på det netværks-segment, så du kan lige så godt
bruge en netmaske, der ikke omfatter særlig mange IP adresser.
Jeg formoder at din firewall laver Masquerading (NAT) ? Ellers kan
du have brug for at lave en route-entry på selve routeren, så den
ved hvordan den skal snakke med maskinerne på det interne netværk.
Og HER kan du godt bruge en anden netmaske - der ville jeg f.eks.
lave en
route add -net 10.0.0.0 netmask 255.0.0.0 gateway 192.168.1.2
fordi det ville dække alle de interne netværk på een gang - de
skal jo alle sammen sendes via firewall'en.
--
Henrik Storner | "Crackers thrive on code secrecy. Cockcroaches breed
<henrik@xxxxxxxxxx> | in the dark. It's time to let the sunlight in."
|
| Eric S. Raymond, re. the Frontpage backdoor
Follow ups
References