sslug-teknik team mailing list archive

[henrik@xxxxxxxxxx (Henrik St�)]

In <39AAEF27.7D2D567D@xxxxxxxxxxxxx> "Fam. Rulffs" <chk_rulf@xxxxxxxxxxxxx> writes:

>Jeg ønsker at isolere en del af et større netværk, lad os kalde det
>192.100.100.0, med en firewall fx IPCHAINS. Rent fysisk er det
intet problem, men IP nummerne driller mig

>Problemet synes at være, at begge netkort i firewallen
>ligger i samme netværks adresse 192.100.100.0, for hvis
>jeg ændre vores officielle ip-nummer til fx 192.168.0.n
>er der ingen problemer - det spritzer bare der ud af.
>med ipchains og det hele :-)

Det kan ikke lade sig gøre.

En firewall er normalt opbygget omkring to eller flere netværks-
segmenter, som der så routes imellem. For at kunne route, er det
nødvendigt at de forskellige segmenter benytter forskellige IP
netværk, d.v.s. ikke har overlappende IP adresser.

Beklager, men der er desværre ingen vej udenom - du må rundt og
skifte IP adresser på en del af dit netværk.

>Og der er et  problem ved at ændre vores ip-nummer til
>fx 192.168.0.0/24.
>Det skal være muligt at logge sig på en af vores server (NT)
>igennem firewall'en  udefra.

Hvorfor er det et problem ? Du bruger da bare port forwarding
af den service, der skal være adgang til udefra. Forhåbentlig
er det ikke file-sharing (Netbios) du tænker på, når du siger
"logge på" - bare tanken giver mig kuldegysninger!

Og husk så lige at checke om du har alle service-packs, hot-
fixes osv. installeret på din NT server...
-- 
Henrik Storner      | "Crackers thrive on code secrecy. Cockcroaches breed 
<henrik@xxxxxxxxxx> |  in the dark. It's time to let the sunlight in."
                    |  
                    |          Eric S. Raymond, re. the Frontpage backdoor