» »

2 DMZ-a in Debian = problem

2 DMZ-a in Debian = problem

SuperHik ::

Lp,

v firmi imamo 2 DMZ-a
Primarni = A.B.C.64 /27 >> /27 = 255.255.255.224
Sekundarni = A.B.C.128 /27 >> /27 = 255.255.255.224

Gateway (Firewall) se nahaja na A.B.C.65 , torej v primarnem DMZ-u

ko dodam Win-based računalnik/strežnik v sekundarni DMZ in mu določim GW (A.B.C.65) vse lepo dela. Medtem ko Debian nikakor noče sprejeti , da bi se GW nahajal v "drugem" subnetu.


win-based računalnik ima naslednjo routing tabelo

ROUTE PRINT
===========================================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x2 ...00 14 22 ba 9f b8 ...... Intel(R) PRO/100 VE Network Connection - Packet Scheduler Miniport
===========================================================================
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 A.B.C.65 A.B.C.135 20
A.B.C.128 255.255.255.224 A.B.C.135 A.B.C.135 20
A.B.C.135 255.255.255.255 127.0.0.1 127.0.0.1 20
A.B.C.255 255.255.255.255 A.B.C.135 A.B.C.135 20
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
224.0.0.0 240.0.0.0 A.B.C.135 A.B.C.135 20
255.255.255.255 255.255.255.255 A.B.C.135 A.B.C.135 1

Default Gateway: A.B.C.65
===========================================================================

Debian routing tabela

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
A.B.C.0 * 255.255.255.0 U 0 0 0 eth0
default A.B.C.65 0.0.0.0 UG 0 0 0 eth0

Treba je povdarit da trenutno na Debian-u uporabljam Subnetmask /24 (255.255.255.0), zato da zadeva sploh dela. Rad pa bi prešel na pravilno subnet masko /27.


Predvidevam, da je problem v routing tabeli Debian-a. Na žalost pa nimam toliko znanja da bi to težavo odpravil sam :(

Help ...

SuperHik
Always look on the bright side of life; LIFE! You never saw my wife ...

SasoS ::

Gateway se ne sme/ne more nahajat v drugem subnetu. V tem je point subnetov :)
Firwall moraš skonfigurirat tako da bo prisoten v obeh subnetih.

SuperHik ::

Hi,

Sasos, lepo da pomagaš :D

Firewall je pravilno skonfiguriran :)

mogoče ti je ušel podatek, da z win-based računalnikom/strežnikom DELA. težava je zaenkrat samo pri Debian-u.
si bom postavu še en FreeBSD da to mal pretestiram.

Win lan settings
IPCONFIG -ALL
Ethernet adapter Local Area Connection:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) PRO/100 VE Network Connection
Physical Address. . . . . . . . . : 00-14-22-BA-9F-B8
Dhcp Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : A.B.C.135
Subnet Mask . . . . . . . . . . . : 255.255.255.224
Default Gateway . . . . . . . . . : A.B.C.65
DNS Servers . . . . . . . . . . . : A.B.C.71


v Debianu pa tele iste nastavitve, ne delajo.

SuperHik
Always look on the bright side of life; LIFE! You never saw my wife ...

SasoS ::

Ne podatek mi ni ušel, dejstvo pa je da to ne bi smelo delat :) mogoče kak bug u network stacku pa ti je za subnet vzel /24 in ne /27

Glej, subnet ti pove do katerih naslovov prideš direktno brez routerja, gateway pa pove kam poslat pakete ki niso namenjeni v tvoj subnet. Ker moraš z gatewayom govort direktno mora ta bit v istem subnetu ker če ne bi že moral it čez gateway ;). Ne vem kakšni so razlogi da imate 2 DMZja ločena ampak verjetno je to iz kakega varnostnega razloga. V tem primeru bi moral subnete tudi fizično ločit (z managed switchem recimo) ker vidiš da tako ubistvu dela nekaj kar sploh ne bi smelo. Tako nekdo ki pride do računalnika samo spremeni IP naslov ali masko pa ima dostop do obeh subnetov (pa verjetno še do česa)...

PaJo ::

SasoS ima prav, vsak subnet mora imeti lasten gateway drugace zadev ne mores resit (in je tudi prav tako), ce pa zadeva dela na win kisti, pa je zagotovo kje kaki bug, ker po teoriji subnetov sploh ne bi mogel priti do tega ip-ja od gatewaya direk, ker se enostavno nahaja v drugem subnetu. Edino ce mu uspe najdit kaksno drugo pot, samo to je pa ze pot okoli riti v zep. Da ti pa dela preko subnet maske /24, pa je razmljivo, ker takrat pa komot najde ip od tega routerja v mrezi.
Po mojem bos rabil dodat se en gatway v drugi DMZ, naceloma lahko uporabis istega kakor za prvi DMZ samo da mu dodas se dodaten ip, pac odvisno od tvoje mreze kako je postavljena in kaksne zmoznosti imajo tvoji switchi.
Ne se preveč sekirat, rajši uživat:)

BigWhale ::

> ko dodam Win-based računalnik/strežnik v sekundarni DMZ in
> mu določim GW (A.B.C.65) vse lepo dela. Medtem ko Debian
> nikakor noče sprejeti , da bi se GW nahajal v "drugem"
> subnetu.

Debian dela prav, Windows dela narobe.
Nekaj imas narobe skonfigurirano.

SuperHik ::

lp,

ok, v subnet sem dodal še en GW da so sedaj vsi zadovoljni.

hvala za vso pomoč.

zgleda da se MaliMehki res ne drži vseh standardov in dela nekaj po svoje; kot ponavadi .

SuperHik
Always look on the bright side of life; LIFE! You never saw my wife ...


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Win 7 routing dveh mrežnih kartic

Oddelek: Omrežja in internet
61636 (1532) Spc
»

USAIP

Oddelek: Omrežja in internet
302948 (2364) Pesimist
»

excel in računanje pretečenega časa

Oddelek: Programska oprema
81284 (1141) nevone
»

Kak se kliče tole vodilo??

Oddelek: Strojna oprema
5831 (774) Dr_M
»

Cross over povezava XP in ME

Oddelek: Pomoč in nasveti
5880 (835) T(he) Boss

Več podobnih tem