sslug-teknik team mailing list archive

["Jeppe Koefoed" <jeppe@xxxxxxxxxx>]

Hej Peter

> Det var faktisk meget mere simpelt end jeg havde forestillet mig. Først
> benyttede jeg
>
> http://lrp.c0wz.com/dox/ProxyARP/3246.html
>
> Fejlene betyder dog mindre hvis man kører 2.4.x kerner da proxyarp
> delen er en del af kernen. /proc/sys/net/ipv4/conf/*/proxyarp skal
> indeholde 1. Jeg bruger:
Fin artikel, blot bryder jeg mig ikke om argumentet for at benytte proxyarp:
"What is worse is that in case of a hardware fault of the firewall, you'll
have to reconfigure all machines in your network so they will be able to see
the outside until you repair the firewall machine"
Hvis man har en firewall er det vil for at man beskytter sig - og så hjælper
det ikke bare at kortslutte sikkerheden hvis den er gået i stykker. De
kommer til gengæld også med et meget bedre argument:
"This solution has proven to be very useful for us, especially when we had
to enhance the existing network without causing ``too much trouble'' "

Nok om det - mit problem havde jeg faktisk også fået løst. Det som er
centralt er faktisk:
> og så skal routerne bare sættes som beskrevet i den første del af
> artiklen.
fordi linux's proxyarp (den som sættes i
/proc/sys/net/ipv4/conf/*/proxy_arp ) ikke benyttes hvis der _ikke_ er en
route for dette net ! Grunden til at jeg ikke havde brug for en route var,
at jeg lavde adressekonvertering of den ip som jeg lavede proxyarp med,
altså:

192.168.1.1 (router)
    |
192.168.1.2 (fw-ext)
192.168.2.1 (fw-int)
    |
192.168.2.10 (intern maskine)

Det jeg gerne ville var at lave proxy-arp for 192.168.1.100 på det eksterne
interface og så lave adressekonvertering til 192.168.2.10. Da iptables laver
adressekonvertering i 'prerouting' behøves ingen route - men så virker
proxyarp ikke. Det jeg gjorde for at løse problemet var såre simpelt: Jeg
tilføjede en route af 192.168.1.100 til localhost :-). Så virkede proxyarp.

Mvh Jeppe