Подключаем подсеть к инету - Сети

th1nG · 12.07.2004, 13:35

значит так.. задача такая.
сетка 24 кампа.
сервак.
25 инет-апишников любезно предоставленых провайдером.
есть провайдерский шлюз и днс-ы . т.е. инет пока работает но через NAT
надо сделать чтобы у каждого компа в сети был свой внутресетевой ип (192.168.11.*) и инетовский (213.236.?.?) .
инет может раздавать тока сервер ибо у него 2 интерфейса для сети и для ALSL.

хотябы есть у когонить какиенибуть представления как это все делать? где чо прописыать итд..

сервер двухштучный, в сети все XP home.

Римо · 12.07.2004, 14:05

а чего тебе НАТ не нравитца?

th1nG · 12.07.2004, 15:29

да потомучта нельзя из инета канектится к конкретному кампу.
+на всех 1 апишник, а это не самый лучшый вариант.
+некоторые игры требуют прямого апишника, т.е. канекта и подсети класса А.. а тех што из Ц канектяца не пускают.
в варкрафт тока так играть можно.
пиринг (ДЦ++) работает тока в пасивном режиме, а это ограничевает пользователя.. меня например. я хочу канектица к пасивным ( тем кто за фаерволом) и скачивать с них чонить..

oldgoat · 12.07.2004, 20:21

Цитата:

th1nG:
сетка 24 кампа.
сервак.
25 инет-апишников любезно предоставленых провайдером.
есть провайдерский шлюз и днс-ы .

Что-то я вас голубчик не совсем понимаю.
Если провайдер дает на 25 компов 25 паблик адресов, ну так пропишите на каждом компе свой адрес, маску, ДНС, шлюз и забудьте обо всем. Зачем вам еще "внутрисетевые адреса"? НАТ, имхо, потому и был придуман, чтобы большое количество компов с приват адресами могло пользоваться малым количеством паблик адресов.
Если лениво прописывать каждый комп, настройте, в конце концов, ДХСП на сервере, чтобы раздавал эти паблик адреса из пула.

th1nG · 14.07.2004, 11:44

дело в том что наша сетка подключена ещо к другой сети которой нежелательно раздавать инет.
т.е. ситуацыя такая:
компутерный клуб подрублен к инету через ADSL
в свич клуба воткнут шланг сети соседних домов чтобы посетители клуба могли играть с юзерами сетки.. если делать так как вы говорите то инет будет подрезать как нефик нафик т.к. прописать апишник када комп в ремонте - не составляет труда.
внутресетевые адреса нужны собстно для того штобы видить эту сетку и играть с ними иначе никак.

XoxoL · 14.07.2004, 12:37

Все в принципе просто, если полностью закрыть глаза на безопасность.
На каждой сетевой карте прописываешь по два IP (внешний и внетренней).
Все будет работать.
Но это тебя не избавит от возможности несанкционированого использования твоих внешних IP.
В идеале тебе надо разделить сети, т.е. либо поставить по две сетевые карты в компы и 2 разных свитча, либо использовать карты и свитч с поддержкой VLAN.

th1nG · 14.07.2004, 14:21

вот вот я про тоже .. я не первый день админю. но такой хренью первый рас озадачиваюсь... может под фрибздюхой чо прокатит? у 1кампа может быть жэ 25 апишников.
если серьезно то полюбому ADSL Router палюбому надо включать в свич приэтом локальные кампы должны знать свои внешние апишники как никрути.. так все получается?
DCHP можел выдавать по 2 апишника на 1 MAC?

XoxoL · 14.07.2004, 16:03

Цитата:

th1nG:
DCHP можел выдавать по 2 апишника на 1 MAC?

А зачем?
Проще в таком геморое разбираться если ручьками все прописать.
Я бы в такой ситуации поступил бы следующим образом:
1. Прописал бы всем по 2 IP
2. Поставил бы нормальный роутер с радиусом или что то типа сквида (что бы отсечь всех незаконных), а за одно и фаервол поднял бы.

А вобще условия задачи абсолютно бездарные.
Как второй вариант - более защещенный и праельный - Сервер занимающийся маршрутизацией и подключение к нему клиентов через VPN.
т.е. на каждом компе будет присутствовать VPN конектор, через который и будет осуществляться подключение к интнрнет (аталог диалапа, но в сети).

th1nG · 14.07.2004, 16:49

хм. можно поподробнее по первому варианту..
сейчас стоит Winroute который пускает в инет (через NAT) тока с нашых ип-ов клуба.
что значит бездарная задача?
задачка то кстати не простая..
суть 2х апишников в том что 1-й апишник для сети, второй для инета..
т.е. сервер будет давать инет тока тем кому можно, и выходить они в инет через сервер будут, каждый со своим ип-ом.вот.

хм. можно поподробнее по первому варианту..
сейчас стоит Winroute который пускает в инет (через NAT) тока с нашых ип-ов клуба.
что значитусловия задачи бездарные?
задачка то кстати не простая..
суть 2х апишников в том что 1-й апишник для сети, второй для инета..
т.е. сервер будет давать инет тока тем кому можно, и выходить они в инет через сервер будут, каждый со своим ип-ом.вот.

XoxoL · 14.07.2004, 17:45

Тебе все равно какую сеть маршрутезить, внешнюю или внутреннюю, по этому тебе достсточно поставить любой роутер (программный или аппаратный) способный отсечь МАС адреса. Не помню, умеет ли это винроут. А задача бездарная по тому, что некрасивая с точки зрения безопасности.
тоесть тебе надо настроить роутер и что бы провйдер прописал его у себя как гейт на твою подсеть (в принципе это уже сделано в модеме, просто небольшие перенастройки понадобятся).
Потом просто добавляещь по второму айпишнику на карту и вперед.

IrWert · 14.07.2004, 21:05

Cорри, а чем в этой ситуации плох VPN?

mmv · 25.07.2004, 05:32

VPN наверное идеальное с точки зрения безопасности решение, доступ открывается только по логину/паролю.
Только у сервера несколько больше процессорного времени может отнимать.

Еще я встречал описания (когда искал примеры настройки iptbles) некой вещи arp proxy под линкусом. как дополнение к маскараду как раз дает примерно то что изначально человек хотел.

IrWert · 26.07.2004, 11:19

Любое решение, основанное только на контроле физического адреса ненадежно, ибо подделать его - несколько кликов мыши... Ну плюс в инете прогу нужную найти...

MBear · 26.07.2004, 12:36

Еще вариант.
На freebsd прокатит.
на внешний интерфейс фришного роутера прописываются алиасы всех реальных ip. затем в нате делаешь bimap на локальные машины
bimap fxp0 192.168.1.66/32 -> 200.200.200.100/32
bimap fxp0 192.168.1.67/32 -> 200.200.200.101/32
итд.
(здесь пример с ipf/ipnat)

th1nG · 05.08.2004, 15:42

што значит запись 192.168.1.67/32
никак не догоню

XoxoL · 05.08.2004, 17:10

Цитата:

th1nG:
што значит запись 192.168.1.67/32
никак не догоню

Ip адрес и сокращенная маска сети
255.255.255.0 - /24
255.255.255.255 (Тоесть еденичный хост) - /32

06.08.2004, 09:25

th1nG

Цитата:

th1nG:
да потомучта нельзя из инета канектится к конкретному кампу.

Можно ! Через OpenVPN все прекрасно пахает! Только доку прочитай - на нате нужно 5000 портик открыть - типа прозрачного туннеля будет.
А коннектиться можно будет потому, что при установке ОпенВПНа создается еще один сетевой адаптер - типа как в ВМваре.

metrim · 12.08.2004, 17:48

Люди, извините, вопрос не в тему, просто не хочется открывать новый топик

Где можно посмотреть на русском литературку по маршрутизации, IP, MAC адресам и пр.
Я в этом разбираюсь хреново, а на голову свалилась задача, подключить к инету несколько машин.
При этом необходимо обеспечить максимальный уровень защищенности и на одну из машин нужно поставить ВЕБ и ФТП сервера (все работает под Win XP) .
Провайдер выделяет на эту группу 1-2 IP.
Заранее спасибо

12.07.2004, 13:35	# 1
th1nG Newbie Регистрация: 09.04.2004 Сообщения: 24	Подключаем подсеть к инету значит так.. задача такая. сетка 24 кампа. сервак. 25 инет-апишников любезно предоставленых провайдером. есть провайдерский шлюз и днс-ы . т.е. инет пока работает но через NAT надо сделать чтобы у каждого компа в сети был свой внутресетевой ип (192.168.11.*) и инетовский (213.236.?.?) . инет может раздавать тока сервер ибо у него 2 интерфейса для сети и для ALSL. хотябы есть у когонить какиенибуть представления как это все делать? где чо прописыать итд.. сервер двухштучный, в сети все XP home. __________________ have a vice dos(); S700.RU - каталог барахла. приглашаю народ для выкладывания всего что есть для мобильных девайсов

12.07.2004, 15:29	# 3
th1nG Newbie Регистрация: 09.04.2004 Сообщения: 24	да потомучта нельзя из инета канектится к конкретному кампу. +на всех 1 апишник, а это не самый лучшый вариант. +некоторые игры требуют прямого апишника, т.е. канекта и подсети класса А.. а тех што из Ц канектяца не пускают. в варкрафт тока так играть можно. пиринг (ДЦ++) работает тока в пасивном режиме, а это ограничевает пользователя.. меня например. я хочу канектица к пасивным ( тем кто за фаерволом) и скачивать с них чонить.. __________________ have a vice dos(); S700.RU - каталог барахла. приглашаю народ для выкладывания всего что есть для мобильных девайсов

14.07.2004, 11:44	# 5
th1nG Newbie Регистрация: 09.04.2004 Сообщения: 24	дело в том что наша сетка подключена ещо к другой сети которой нежелательно раздавать инет. т.е. ситуацыя такая: компутерный клуб подрублен к инету через ADSL в свич клуба воткнут шланг сети соседних домов чтобы посетители клуба могли играть с юзерами сетки.. если делать так как вы говорите то инет будет подрезать как нефик нафик т.к. прописать апишник када комп в ремонте - не составляет труда. внутресетевые адреса нужны собстно для того штобы видить эту сетку и играть с ними иначе никак. __________________ have a vice dos(); S700.RU - каталог барахла. приглашаю народ для выкладывания всего что есть для мобильных девайсов

14.07.2004, 12:37	# 6
XoxoL ::VIP:: Регистрация: 18.02.2004 Адрес: 127.0.0.1 - жду хакеров в гости! Сообщения: 656	Все в принципе просто, если полностью закрыть глаза на безопасность. На каждой сетевой карте прописываешь по два IP (внешний и внетренней). Все будет работать. Но это тебя не избавит от возможности несанкционированого использования твоих внешних IP. В идеале тебе надо разделить сети, т.е. либо поставить по две сетевые карты в компы и 2 разных свитча, либо использовать карты и свитч с поддержкой VLAN. __________________ Саксовость мастдая в том, что рулезность его фич глюкава!

14.07.2004, 14:21	# 7
th1nG Newbie Регистрация: 09.04.2004 Сообщения: 24	вот вот я про тоже .. я не первый день админю. но такой хренью первый рас озадачиваюсь... может под фрибздюхой чо прокатит? у 1кампа может быть жэ 25 апишников. если серьезно то полюбому ADSL Router палюбому надо включать в свич приэтом локальные кампы должны знать свои внешние апишники как никрути.. так все получается? DCHP можел выдавать по 2 апишника на 1 MAC? __________________ have a vice dos(); S700.RU - каталог барахла. приглашаю народ для выкладывания всего что есть для мобильных девайсов

12.07.2004, 14:05	# 2
Римо Junior Member Регистрация: 08.07.2004 Адрес: Теперь Черная речка Сообщения: 123	а чего тебе НАТ не нравитца?

14.07.2004, 16:49	# 9
th1nG Newbie Регистрация: 09.04.2004 Сообщения: 24	хм. можно поподробнее по первому варианту.. сейчас стоит Winroute который пускает в инет (через NAT) тока с нашых ип-ов клуба. что значит бездарная задача? задачка то кстати не простая.. суть 2х апишников в том что 1-й апишник для сети, второй для инета.. т.е. сервер будет давать инет тока тем кому можно, и выходить они в инет через сервер будут, каждый со своим ип-ом.вот. хм. можно поподробнее по первому варианту.. сейчас стоит Winroute который пускает в инет (через NAT) тока с нашых ип-ов клуба. что значитусловия задачи бездарные? задачка то кстати не простая.. суть 2х апишников в том что 1-й апишник для сети, второй для инета.. т.е. сервер будет давать инет тока тем кому можно, и выходить они в инет через сервер будут, каждый со своим ип-ом.вот. __________________ have a vice dos(); S700.RU - каталог барахла. приглашаю народ для выкладывания всего что есть для мобильных девайсов

14.07.2004, 17:45	# 10
XoxoL ::VIP:: Регистрация: 18.02.2004 Адрес: 127.0.0.1 - жду хакеров в гости! Сообщения: 656	Тебе все равно какую сеть маршрутезить, внешнюю или внутреннюю, по этому тебе достсточно поставить любой роутер (программный или аппаратный) способный отсечь МАС адреса. Не помню, умеет ли это винроут. А задача бездарная по тому, что некрасивая с точки зрения безопасности. тоесть тебе надо настроить роутер и что бы провйдер прописал его у себя как гейт на твою подсеть (в принципе это уже сделано в модеме, просто небольшие перенастройки понадобятся). Потом просто добавляещь по второму айпишнику на карту и вперед. __________________ Саксовость мастдая в том, что рулезность его фич глюкава!

14.07.2004, 21:05	# 11
IrWert Member Регистрация: 01.02.2004 Сообщения: 211	Cорри, а чем в этой ситуации плох VPN? __________________ Никого не хотел обидеть, все вышесказанное - ИМХО...

25.07.2004, 05:32	# 12
mmv Junior Member Регистрация: 26.11.2002 Сообщения: 55	VPN наверное идеальное с точки зрения безопасности решение, доступ открывается только по логину/паролю. Только у сервера несколько больше процессорного времени может отнимать. Еще я встречал описания (когда искал примеры настройки iptbles) некой вещи arp proxy под линкусом. как дополнение к маскараду как раз дает примерно то что изначально человек хотел.

26.07.2004, 11:19	# 13
IrWert Member Регистрация: 01.02.2004 Сообщения: 211	Любое решение, основанное только на контроле физического адреса ненадежно, ибо подделать его - несколько кликов мыши... Ну плюс в инете прогу нужную найти... __________________ Никого не хотел обидеть, все вышесказанное - ИМХО...

26.07.2004, 12:36	# 14
MBear Newbie Регистрация: 22.08.2002 Сообщения: 42	Еще вариант. На freebsd прокатит. на внешний интерфейс фришного роутера прописываются алиасы всех реальных ip. затем в нате делаешь bimap на локальные машины bimap fxp0 192.168.1.66/32 -> 200.200.200.100/32 bimap fxp0 192.168.1.67/32 -> 200.200.200.101/32 итд. (здесь пример с ipf/ipnat)

05.08.2004, 15:42	# 15
th1nG Newbie Регистрация: 09.04.2004 Сообщения: 24	што значит запись 192.168.1.67/32 никак не догоню __________________ have a vice dos(); S700.RU - каталог барахла. приглашаю народ для выкладывания всего что есть для мобильных девайсов

12.08.2004, 17:48	# 18
metrim Full Member Регистрация: 02.10.2003 Пол: Male Сообщения: 869	Люди, извините, вопрос не в тему, просто не хочется открывать новый топик Где можно посмотреть на русском литературку по маршрутизации, IP, MAC адресам и пр. Я в этом разбираюсь хреново, а на голову свалилась задача, подключить к инету несколько машин. При этом необходимо обеспечить максимальный уровень защищенности и на одну из машин нужно поставить ВЕБ и ФТП сервера (все работает под Win XP) . Провайдер выделяет на эту группу 1-2 IP. Заранее спасибо