# RoUtInG w szkole ;)

## _Adik_

Witam, postawilem serverek na gentoo w szkole, wszystkie uslugi

juz ladnie dzialaja ale pozostala jeszcze jedna ( ktorej wczesniej nie

bylo w planach ). Serwer ten ma rowniez pelnic funkcje routera i firewalla.

O ile z firewallem sobie poradze ( kmyfirewall  :Razz:  ) to z routingiem juz gorzej...

Systuacja jest taka:

Komp ma dwie sieciowki, jedna z adresem 213.186.86.1 druga z 213.186.86.255, obie juz dzialaja - dostaje numerek z dhcp. Chodzi mi teraz o to zeby to tak skonfigurowac, aby ten komputer byl brama dla innych komputerkow za nim ( tamte rowniez maja ip z klasy 213.186.86.xxx ). Co trzeba wkompilowac w jajko i co konkretniej trzeba zrobic nie mam pojecia, nigdy nie bawilem sie routingiem! Dla ulatwienia narysuje jeszzce schemacik  :Wink: 

|ISP|<--->|Modem|<--->|eth0:213.186.86.1,eth1:213.186.86.255|<--->|LAN|

prosze o pomoc!

----------

## ezman

Nie znam Kmyfirewall ale czytalem ze to jest firewall ktura wspulpracuje z KDE. Ja uzywam firewall coyote od www.coyotelinux.com bardzo dobra w mojej opini.

Jak chcesz sie nauczyc o routing z iptables, ja bym wskazal www.netfilter.org.

Mysle ze to ci pomoze cos  :Smile: 

----------

## misterLu

ja mam na serwerze maskarade zwykłą i działa wszystko bez problemu.

W kernel (z myślą o przyszłości ) wkompilowałem 

```
CONFIG_IP_NF_CONNTRACK=y

CONFIG_IP_NF_FTP=y

CONFIG_IP_NF_IRC=y

# CONFIG_IP_NF_QUEUE is not set

CONFIG_IP_NF_IPTABLES=y

CONFIG_IP_NF_MATCH_LIMIT=m

CONFIG_IP_NF_MATCH_MAC=m

CONFIG_IP_NF_MATCH_PKTTYPE=m

CONFIG_IP_NF_MATCH_MARK=m

CONFIG_IP_NF_MATCH_MULTIPORT=m

CONFIG_IP_NF_MATCH_TOS=m

CONFIG_IP_NF_MATCH_ECN=m

CONFIG_IP_NF_MATCH_DSCP=m

CONFIG_IP_NF_MATCH_AH_ESP=m

CONFIG_IP_NF_MATCH_LENGTH=m

CONFIG_IP_NF_MATCH_TTL=m

CONFIG_IP_NF_MATCH_TCPMSS=m

CONFIG_IP_NF_MATCH_HELPER=m

CONFIG_IP_NF_MATCH_STATE=m

CONFIG_IP_NF_MATCH_CONNTRACK=m

# CONFIG_IP_NF_MATCH_UNCLEAN is not set

# CONFIG_IP_NF_MATCH_OWNER is not set

CONFIG_IP_NF_FILTER=m

CONFIG_IP_NF_TARGET_REJECT=m

CONFIG_IP_NF_TARGET_MASQUERADE=m

CONFIG_IP_NF_TARGET_REDIRECT=m

CONFIG_IP_NF_NAT_LOCAL=y

# CONFIG_IP_NF_NAT_SNMP_BASIC is not set

CONFIG_IP_NF_NAT_IRC=y

CONFIG_IP_NF_NAT_FTP=y

CONFIG_IP_NF_MANGLE=m

CONFIG_IP_NF_TARGET_TOS=m

CONFIG_IP_NF_TARGET_ECN=m

CONFIG_IP_NF_TARGET_DSCP=m

CONFIG_IP_NF_TARGET_MARK=m

CONFIG_IP_NF_TARGET_LOG=m

CONFIG_IP_NF_TARGET_ULOG=m

CONFIG_IP_NF_TARGET_TCPMSS=m

```

większości nie używam, ale jak chcesz stawiać firewalla, to przydadzą Ci sie te moduły.

Najważniejsza jest linijka:

CONFIG_IP_NF_TARGET_MASQUERADE=m

Po takim skompilowaniu kernela trzeba jeszcze wykonać dwa polecenia:

```
echo 1 > /proc/sys/net/ipv4/ip_forward

/sbin/iptables  -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

```

(przy założeniu  że ppp0 to twoje wyjście na ISP)i gotowe. Ja mam te polecenia wpisane w /etc/conf.d/local.start

a co ro reszty kompów to trzeba wykonać tam nastęepujące polecenia:

route add default gw IP_BRAMY

Nie wiem czy o to ci chodzilo, mam nadzieje że choć troche to pomocne .

----------

## meteo

 *_Adik_ wrote:*   

> 
> 
> Systuacja jest taka:
> 
> Komp ma dwie sieciowki, jedna z adresem 213.186.86.1 druga z 213.186.86.255

 

 :Shocked:  a to tak mozna? myslalem, ze zgodnie z zasadami sztuki ##.##.##.255 jest zarezerwowane na broadcast?

----------

## misterLu

pewnie , że nie można! 

Podobnie zero. Ma prawo wystąpić tylko w tablicy routingu (i oznacza wszystkie kompy danej sieci)

----------

## meteo

 *_Adik_ wrote:*   

> Systuacja jest taka:
> 
> Komp ma dwie sieciowki, jedna z adresem 213.186.86.1 druga z 213.186.86.255, obie juz dzialaja - dostaje numerek z dhcp.

 

tak mi jeszcze do głowy przychodzi... zgodnie ze sztuką starożytnych gumisiów jeśli na eth1 masz LAN, to tam powienien być adres z grupy lanowych, np. 192.168.##.## albo 10.##.##.## i tak powinieneś skonfigurować dhcpa (komputery w lanie też najlepiej jeśli dostawać będą adresy z tej samej podsieci)

----------

## misterLu

to ja sie juz pogubiłem  :Confused: 

Z tego , co napisał _Adik_, najwyraźniej błędnie wywnioskowałem , ze ma dwa niezależne wyjscia na świat, a o wew interfejsie nic nie pisał!

CZyli jak jest  *_Adik_ wrote:*   

> Komp ma dwie sieciowki, jedna z adresem 213.186.86.1 druga z 213.186.86.255, obie juz dzialaja - dostaje numerek z dhcp.

 

Pierwsza to wyjście na świat, druga nie ma (teoretycznie) prawa posiadać takiego numeru. To jest jej bcast, więc jak jest skonfigurowana ta druga ?

I kto dostaje numerek z dhcp ? Brama czy kompy w LANie?

----------

## Raku

adres z koncowka 255 jest jak najbardziej poprawnym adresem !!!!

czym jest broadcast i adres sieci? to ostatni i pierwszy adres z danej podsieci

dla maski 255.255.255.0 i sieci 192.168.0.0 jest to wiec opowiednio 192.168.0.255 i 192.168.0.0

ale dla tej samej podsieci z maską 255.255.0.0 adresem sieci jest 192.168.0.0 a broadcastem 192.168.255.255, wiec adres 192.168.0.255 jest poprawnym adresem hosta (tak samo jak 192.168.1.255 itd)

----------

## misterLu

 *Quote:*   

> adres z koncowka 255 jest jak najbardziej poprawnym adresem !!!!

 

będę się kłucił.

Podepre się  "TCP/IP Administracja sieci"  wydawnictwa O'reilly (to chyba wiarygodne źródło)

We wszystkich klasach adresów IP zarezerwowane są również numery hostów 0 i 255.

Zgadzam się, że można tak zaadresować hosty, ale tego się nie stosuje. Nawet przy obliczaniu objętości podsieci, zawsze się odejmuje '2', własnie ze względu na adresy ...0 i ...255.

----------

## meteo

 *raku wrote:*   

> dla maski 255.255.255.0 i sieci 192.168.0.0 jest to wiec opowiednio 192.168.0.255 i 192.168.0.0
> 
> ale dla tej samej podsieci z maską 255.255.0.0 adresem sieci jest 192.168.0.0 a broadcastem 192.168.255.255, wiec adres 192.168.0.255 jest poprawnym adresem hosta (tak samo jak 192.168.1.255 itd)

 

prawdziwe czy nie, fakt faktem, że _Adik_ mówił o sieci 213.186.86.##, dla której ##.##.##.255 jest broadcastem...

wszystkim polecam RFC 1166 - Internet numbers i RFC 1918 - Address Allocation for Private Internets

----------

## _Adik_

ofkorz sie pomylilem ludzie  :Smile: 

nie mialo byc .255 tylko .25  :Smile: 

a tak wogole to zwykla maskarada nie wchodzi w gre

bo reszta kompow w sieci tez ma publiczne ip a gdybym interfejs dla LAN

ustawil na 192.168.xxx.xxx to te kompy bylyby odciete od neta.

Nie chce zmieniac infrastruktury sieci bo to by bylo za duzo roboty!

Z tego co sie zdazylem dowiedziec najlepszym wyjsciem w tej sytuacji jest

bridge ( bridge.sf.net ) pomiedzy dwoma kartami sieciowymi. mial ktos z tym jakies doswiadczenia? prosilbym o pomoc bo robie to pierwszy raz a nie chce szkoly pozbawic neta  :Very Happy: 

----------

## Raku

 *misterLu wrote:*   

> będę się kłucił.
> 
> Podepre się  "TCP/IP Administracja sieci"  wydawnictwa O'reilly (to chyba wiarygodne źródło)
> 
> We wszystkich klasach adresów IP zarezerwowane są również numery hostów 0 i 255.
> ...

 

http://groups.google.pl/groups?hl=pl&lr=&ie=UTF-8&inlang=pl&threadm=bsnbhm%247ok%2402%241%40news.t-online.com&rnum=16&prev=/groups%3Fq%3DPedziwiatr%2Bgroup:pl.comp.networking%26hl%3Dpl%26lr%3D%26ie%3DUTF-8%26inlang%3Dpl%26group%3Dpl.comp.networking%26start%3D10%26sa%3DN

owszem, odejmuje się 2, ale jeśli masz sieć z maską /16 (255.255.0.0), z zakresu od 192.168.0.0 do 192.168.255.255, to dlaczego masz mieć 256 adresów sieci i broadcastu?

odejmij sobie w takiej podsieci 2 i ci wyjdzie, że możesz mieć 65534 hosty

wg twojej metody, musiałbyś odjąć 512 - straciłbyś więc miejsce dla 510 hostów

polecam link z googli - też do niedawna uważałem, że nie można używać 0 i 255  :Wink: 

----------

## tokoloshe

 *raku wrote:*   

>  *misterLu wrote:*   będę się kłucił.
> 
> Podepre się  "TCP/IP Administracja sieci"  wydawnictwa O'reilly (to chyba wiarygodne źródło)
> 
> We wszystkich klasach adresów IP zarezerwowane są również numery hostów 0 i 255.
> ...

 

chyba troche nie rozumiesz co ma maska wspolnego z broadcastem i adresem sieci

1. siec puli 192.168.x.x jest z klasy C, czyli maska POWINNA byc 255.255.255.0

2.adres sieci i broadcast to te adresy, dla ktorych czesc hosta to odpowienio same 0 (siec) same 1(broadcast) w zapisie bitowym. biorac pod uwage Twoj przyklad z 192.168.0.0 broadcastem jest TYLKO 192.168.255.255 a adresem sieci 192.168.0.0. 

zawsze w kazdej podsieci odejmuje sie 2 hosty od ilosc ogolnie dostepnej, wlasnie z przeznaczeniem na adres i broadcast.

----------

## Raku

 *tokoloshe wrote:*   

> 
> 
> 2.adres sieci i broadcast to te adresy, dla ktorych czesc hosta to odpowienio same 0 (siec) same 1(broadcast) w zapisie bitowym. biorac pod uwage Twoj przyklad z 192.168.0.0 broadcastem jest TYLKO 192.168.255.255 a adresem sieci 192.168.0.0. 
> 
> zawsze w kazdej podsieci odejmuje sie 2 hosty od ilosc ogolnie dostepnej, wlasnie z przeznaczeniem na adres i broadcast.

 

i ja dokładnie to pisałem

powtórzę więc jeszcze raz - w sieci z maską /16 można mieć adres z końcówką 255 lub 0 i będzie to jak najbardziej poprawny adres

----------

## _Adik_

widze ze znacie sie na temacie wiec mam kolejne pytanie:

czy gdy zestawie pomost (bridge.sf.net ) miedzy 

eth0 i eth1 moj komputer bedzie funkcjonowal jako

brama dla pozostalych?

byloby wtedy tak:

LAN <--> eth1 <--- bridge ---> eth0 <---> modem

chodzi mi o to ze obecnie komputery korzystaja ze starego routera, 

ja chce go zamienic i czy robiac to bridgem ( dlatego nie maskarada bo

jak opisalem wyzej - kompy w sieci MUSZA miec publiczne ip )

komputer bedzie reagowal jako brama? czy nie stanie sie przypadkiem

tak ze brama stanie sie modem? mi by chodzilo o to zeby numer ip karty

eth1 byl jednoczesnie numerem bramy dla pozostalych z LAN'a...

Jesli macie jeszcze jakies propozycje to prosze pisac, bo juz od jutra

zaczynam z tym meczarnie, a od tego zalezy moja ocena na koniec roku  :Razz: 

Z tego co wyczytalem na bridge.sf.net brama tworzy z obu kart sieciowych

tak jakby jedna "wirtualna" ktorej mozna nadac numer ip, wiec moze

ten numer stanie sie brama dla innych komputerow w LAN'ie? 

Jesli ktos z was sie tym bawil prosilbym o pomoc...

----------

## tokoloshe

 *_Adik_ wrote:*   

> widze ze znacie sie na temacie wiec mam kolejne pytanie:
> 
> czy gdy zestawie pomost (bridge.sf.net ) miedzy 
> 
> eth0 i eth1 moj komputer bedzie funkcjonowal jako
> ...

 

bridge dziala na warstwie nizszej niz ip (dziala na warstwie drugiej). jest przezroczysty dla ip, decyzja o przeslaniu   czy nie danych na druga strone zostaje podjeta w oparciu o adres MAC (nie ip). dlatego komputery z jednej strony i z drugiej strony sieci beda sie widzialy i nie bedziesz mial mozliwosci ustawienia bridgowi ip, nie bedzie on dzialal jako brama. a nie wystarczy po po prostu ustawic tablicy routingu na serwerze?? nie trzeba zadnych mostow (ktore nie do tego sluza)

----------

## _Adik_

napisz mi dokladnie jakie trzeba polecenia wydac, bo nie chce czegos zchrzanic  :Razz: 

p.s. na stronie bridge.sf.net pisze ze mozna ustawic ip dla

bridge'a...

----------

## tokoloshe

 *_Adik_ wrote:*   

> napisz mi dokladnie jakie trzeba polecenia wydac, bo nie chce czegos zchrzanic 
> 
> p.s. na stronie bridge.sf.net pisze ze mozna ustawic ip dla
> 
> bridge'a...

 

tylko ja nie wiem czy dobrze rozumiem co Ty chcesz zrobic. 

na eth0 adres dostajesz z dhcp  z publicznej puli?? kompy w lanie skad maja ip?? tez publiczne?? (wnioskuje ze tak)

jesli adresy sieciowek na eth0 i eth1 jest z tej samej podsieci, czyli tak naprawde powinna byc to jedna siec. to istotnie powinienes postawic brdige. przypisac mu wirtualny adres/siec. tak jak jest to opisane w faq

zobacz tablice /sbin/route -n, co teraz masz?? czy zgadza to sie ze stanem mile widzianym  :Smile: 

pozniej caly ruch puscic przez wyjscie na swiat, czyli:

/sbin/route add default gw [numerek ip wyjscia do isp]

wydaje mi sie ze powinno krzesac, ale jak cos...

----------

## _Adik_

dobra, dzieki, juz sobie poradzilem sam  :Smile: 

dla innych ktorzy beda miec podobne problemy

polecam man iptables i www.giptables.com, fajne

skrypciki ktore skonfiguruja brame, firewall i kilka

innych uslug na podstawie iptables  :Smile: 

----------

## _troll_

 *tokoloshe wrote:*   

> 
> 
> 2.adres sieci i broadcast to te adresy, dla ktorych czesc hosta to odpowienio same 0 (siec) same 1(broadcast) w zapisie bitowym. biorac pod uwage Twoj przyklad z 192.168.0.0 broadcastem jest TYLKO 192.168.255.255 a adresem sieci 192.168.0.0. 
> 
> zawsze w kazdej podsieci odejmuje sie 2 hosty od ilosc ogolnie dostepnej, wlasnie z przeznaczeniem na adres i broadcast.

 

taka jest regula - a jak wiadomo reguly sa po to by je lamac.... tylko nie zawsze wychodzi z tego cos dobrego.

bardziej zrozumiale - zgadzam sie z Toba - same zera (bitowo) na aders sieciowy i same 1 (bitowo) na adres broadcastowy, przy czym - jest to JEDYNIE REGULA. adresy te mozna ustawic dowolnie w danej podsieci, ale raczej sie tego nie zaleca. Przypinam sie do Twojego stwierdzenia 'TYLKO' - dzialalem kiedys dla zabawy na innych adresach i nie bylo problemow.

to takie moje 0,02 PLN  :Smile: 

----------

