teljes /29 halozat beroutolasa fw moge pf-fel

FreeBSD-all

teljes /29 halozat beroutolasa fw moge pf-fel

  • 816 megtekintés

( ruczati | 2005. 06. 24., p – 11:34 )

Szorakozok itt a pf-fel: nekem olyan kellene, hogy a teljes kinti (modjuk) /29 halozatot egyetlen publikus cimen keresztul lehessen elerni, vagyis a tuzfal kinti laba "ugorjon" azokra a cimekre is, amik nem az o konkret cime. Linuxon ez talan valami proxy_arp dologgal ment, ha jol emlexem.
A cel az lenne, hogy a tuzfalnak van 1 kinti laban 1 kinti cime, a /29-bol hasznalatos cimek pedig benti (dmz, akarmi) hostokra vannak iranyitva rdr-rel, es akkor azoknak lehet privat tartomanybol cimuk.
Az ugye nem igazan jo megoldas, ha csinalok egy talicskanyi alias-t, mert mi van, ha /24 az a bizonyos publikus halozat... Valami olyasmit sejtek, hogy arp szinten kene ezt tudatositani benne, de hogyan?

Otlet?

( drastik | 2005. 06. 24., p – 11:37 )

[quote:062e3adde3="ruczati"]Szorakozok itt a pf-fel: nekem olyan kellene, hogy a teljes kinti (modjuk) /29 halozatot egyetlen publikus cimen keresztul lehessen elerni, vagyis a tuzfal kinti laba "ugorjon" azokra a cimekre is, amik nem az o konkret cime. Linuxon ez talan valami proxy_arp dologgal ment, ha jol emlexem.

huh ezt most nem ertem hirtelen

( ruczati | 2005. 06. 24., p – 11:47 )

[quote:9f5e149cde="drastik"]huh ezt most nem ertem hirtelen

na akkor osszeszedem magam:

arrol lenne szo, hogy ide nekem a szolgaltato idead 2 darab /29 vegu halozatot. Azt szeretnem, hogy a tuzfal mogotti gepeknek privat tartomanybol legyen cimuk, kifele majd natozunk, befele meg redirect-telunk pf/pfctl parossal. A tuzfalnak van 2 kulso laba, hogy ne kelljen alias-t csinalni a 2 kulonbozo networknek.
Olyan kellene, hogy a kulso interfesz ne csak azokra az arp keresekre valaszoljon, ami neki szol, hanem a /29-es halo minden (ertelemszeruen a gw meg a network nem) cimere is. Ekkor a halozat default gw-je majd neki fogja nyomatni azokat a csomagokat is, amik nem konkretan neki szolnak, de a tuzfal majd fogja tudni, hogy adott cimre/portra erkezo kerest melyik belso halozat melyik hostjanak passzolja (redirect).
A problema: nem tudom, hogy csinalodik ez meg freebsd-n anelkul, hogy a kulso halozat osszes (/29 eseten 5, nagyobbnal tobb) cimet felraknam alias-nak a tuzfal kulso labara...

( polya v | 2005. 06. 24., p – 11:50 )

route-old a server kulso ip-jere a tartomanyt, vagy bridge-lj(+ipfw/ipf)

( ruczati | 2005. 06. 24., p – 11:54 )

[quote:08fbd13d70="polya"]route-old a server kulso ip-jere a tartomanyt, vagy bridge-lj(+ipfw/ipf)

ugye a szolgaltato nem en vagyok, tehat nem en routolom, masreszt pf...bar a bridge az elgondolkodtato

( polya v | 2005. 06. 24., p – 12:33 )

ugye te a megrendelo vagy akit a szolgaltato kiszolgal...
a pf az manapsag valoban divatos (remelhetoleg a pf is megy majd bridge-el) de az ipf/ipfw is valoszinu tokeletesen eleg a feladathoz

( ruczati | 2005. 06. 24., p – 12:42 )

[quote:137c1029c5="polya"]ugye te a megrendelo vagy akit a szolgaltato kiszolgal...

te megis melyik orszagban elsz? :D egy ilyet elintezni siman hetek kerdese, masreszt a bridge azert nem _teljesen_ jo, mert lehet, hogy abbol a kinti halozatbol valaki mas is akar hasznalni valamennyi cimet.

( polya v | 2005. 06. 24., p – 12:57 )

ez inkabb szolgaltato(ill penz) mint orszagfuggo.
nem jelent problemat - a bridge-t ugy kepzeld el mintha egy bridge-t ;) (kb 2 labu switchet) tennel oda.