sslug-teknik team mailing list archive

[henrik@xxxxxxxxxx (Henrik St�)]

In <39C51996.799C1E87@xxxxxxxxx> MONZ <monz@xxxxxxxxx> writes:

>Andre har i et tidligere indlæg svaret på dette, men jeg mangler
>alligevel lige de sidste krummer.

>                              Router
>                                |
>                                | DMZ
>                                |
>                             Firewall
>                             |   |  |
>     +-----------------------+   |  +------------------------+
>     |                           |                           |
>     |                           |                           |
>  ---+-----------       ---------+----------         --------+--------
>    10.1.0.0/16             10.2.0.0/16                 10.3.0.0/16

>Som Størner skrev, bør jeg bruge et helt andet IP segment til min DMZ,
>fx. 192.168.1.0/24, ellers kan der ikke routes mellem DMZ og de andre
>segmenter.

>Forstået, meeen: Hvis nu DMZ hedder 10.0.0.0/16, bør der vel
>kunne routes til de andre 10.x.x.x segmenter, ikk'? Det er vel ikke
>nødvendigt at have et helt separat IP segment til DMZ'en for at der kan
>routes mellem vilkårlige 10.x.x.x segmenter og DMZ'en, eller hvad?

Nej, 10.0.0.0/16 fungerer fint. Det er jo netop IKKE sammenfaldende
med de andre 10.x netværk, da de alle kører med en 16-bit netmaske.

>Var mit problem med ovennævnte opsætning ikke nærmere en forkert maske
>på DMZ, 10.0.0.0/8, sammen med 10.x.x.x/16 segmenterne?

Jo.
-- 
Henrik Storner      | "Crackers thrive on code secrecy. Cockcroaches breed 
<henrik@xxxxxxxxxx> |  in the dark. It's time to let the sunlight in."
                    |  
                    |          Eric S. Raymond, re. the Frontpage backdoor