sslug-teknik team mailing list archive

Thread
Date

Re: Netmask primer ønskes

To: sslug-teknik@xxxxxxxx
From: Mogens Valentin <valentin@xxxxxxxxxxxxxx>
Date: Thu, 24 Aug 2000 13:53:01 +0200
Delivered-to: mailing list sslug-teknik@xxxxxxxx
Mailing-list: contact sslug-teknik-help@xxxxxxxx; run by ezmlm
Newsgroups: sslug.teknik
Organization: QuizPeople A/S

"Henrik Størner" wrote:
> 
> In <39A446CE.A16F960B@xxxxxxxxx> MONZ <monz@xxxxxxxxx> writes:
> 
> >Har læst en del i SUBNETTING-HOWTO + div. andre, meeen...
> 
> >Når jeg har en 10.0.0.0/255.0.0.0 dmz mellem router og firewall, kan det
> >så ikke skabe problemer hvis jeg segmenterer med tre net på indersiden
> >sådan:
> >  10.1.0.0, 10.2.0.0, 10.3.0.0
> 
> Jo, det vil helt sikkert give dig problemer. Uanset hvad du sætter
> netmasken til på de interne segmenter.

Ok, det giver så en del af forklaringen på de route problemer jeg
omtalte i sikkerhed (Routing problemer, 14/8), hvor en anden 'sysadm'
havde lavet routing til en anden bygning, og der lavet et 10.45.0.0 net.
 
> Dit router/firewall netværk er nødt til at være et andet IP netværk
> end dine interne segmenter. Ellers kan du ikke lave routing imellem
> dem. Jeg tegner lidt:
> 
>                              Router
>                                |
>                                |
>                             Firewall
>                             |   |  |
>     +-----------------------+   |  +------------------------+
>     |                           |                           |
>  ---+-----------       ---------+----------         --------+--------
>    10.1.0.0/16             10.2.0.0/16                 10.3.0.0/16
> 
> De tre interne netværk må ikke have overlappende IP adresser, d.v.s.
> du skal vælge en netmaske der sikrer det. F.eks. en 16-bit netmaske,
> d.v.s. 255.255.0.0. Så vil de tre netværk have IP adresser med
> 10.1.x.x, 10.2.x.x og 10.3.x.x - d.v.s. man (firewall'en) kan klart se
> hvilket netværk en IP adresse tilhører, og så kan den også finde ud af
> hvilket netkort den skal sende pakken ud på.
> 
> Og så nytter det ikke at dit firewall/router segment overlapper med de
> interne IP adresser - så bryder hele det system jo sammen.

Er helt med på ovenstående; havde meget lidt tid til at sætte mig ind i
subnetting da jeg først satte firewallen op, derfor forskellige klasser
på indersiden.

Videre: Den subnet inddeling, der omtales i SUBNETTING-HOWTO, går altså
på yderligere inddeling indenfor et fysisk selvstændigt net; altså at
inddele fx. et 10.2.0.0 net i 10.2.1.0 og 10.2.2.0, ikk' sandt?
Hvis det er sådan, kan jeg da godt forstå jeg havde problemer med en
10.0.0.0 dmz og to net bag FW'en med 10.1.0.0 og 10.2.0.0 :-
 
> Jeg formoder at din firewall laver Masquerading (NAT) ?

Jo da. Og tak...
-- 
Regards, Mogens Valentin
Systems Administrator 
QuizPeople A/S   Vesterbrogade 24, 4.   DK-1620 Copenhagen
Phone +45 3325 0804    Fax +45 3325 0824

References

Netmask primer ønskes
From: MONZ, 2000-08-23
Re: Netmask primer ønskes
From: Henrik St�, 2000-08-24