[linux] Viac sieti na jednom ethernete.

Michal Zimen mizu na nextra.sk
Sobota Listopad 18 05:42:34 CET 2000


On Fri, 17 Nov 2000, Marcel Telka wrote:

> Date: Fri, 17 Nov 2000 09:23:22 +0100
> From: Marcel Telka <marcel na telka.sk>
> Reply-To: linux na rak.isternet.sk
> To: linux na rak.isternet.sk
> Subject: Re: [linux] Viac sieti na jednom ethernete.
> 
> Hm. Mozno by to slo tak, ze by sa napr. cez ipchains zakazalo ICMP
> redirect...
> 
> V kazdom pripade by som to skusil nejako takto:
> 
> Povedzme, ze chceme dvoch hostov, ktori by sa nemali vidiet. Vytvoril by som
> dve siete, povedme 192.168.1.0/24 a 192.168.2.0/24. Wireless rozhranie
> routera by malo dve adresy (192.168.1.1 a 192.168.2.1). Tie dve stanice by mali
> adresy 192.168.1.2 a 192.168.2.2. Mozno si to takto aj robil, ale mam asi
> trosku dlhe vedenie a ten obrazok mi nie je uplne jasny :-))).
> 
> Gateway pre tie dve sanice by bolo 192.168.1.1, resp. 192.168.2.1. Pokial v
> takomto pripade to nebude fungovat podla potreby treba presne odsledovat ci
> router naozaj pocle ICMP redirect a ak ano, skuste ho ipchainsom zakazat...
> 
> 
>                         B +-------+
>                    +------+ host1 |
> +--------+ A       |      +-------+
> | router |---------+
> +--------+         |    C +-------+
>                    +------+ host2 |
>                           +-------+
> 
> A = 192.168.1.1/24 a 192.168.2.1/24
> B = 192.168.1.2/24
> C = 192.168.2.2/24
> 
> Paket z B do C by teda _mal_ ist cez A (pokial sa do toho nezamiesa ICMP
> redirect)...

..hmmm OK. Tak presne to ma vyzerat.

Ale da sa zakazat ICMP redirect ?

v ipchains je nieco ako --icmp-type  a typ host-redirect.

takze ked dam 
      
      ipchains -I input -p icmp --icmp-type host-redirect -j DENY

 tak by to malo zakazat vstky ICMP redirecty ???
 alebo to sluzi na nieco uplne ine ???



 Dik

 					Mizu


> 
> On nov 16 2000 18:40 Michal Zimen wrote:
> > Takze este raz na oozrejmenie situacie.
> > 
> >   Staviam Wireless Router. Kedze karty su "dost" drahe snazim sa vyuzit
> >   jednu kartu wireless ako vstupny bod pre vsetkych klientov, ktory sa
> budu
> >   pripajat na router.
> >   Ta Wireless karta sa chova presne ako ethernet. Vytvori si zariadenie
> eth0
> >   a vsetko funguje ako keby to bola klasicka ethernetova karticka.
> > 
> >   Kazdy zakaznik bude mat tu istu kartu na pripojenie na moj router.
> > 
> >   ALE !
> > 
> >   1. Zakaznik pripojeny na tento router nesmie vidiet ostatnych
> zakaznikov.
> > 
> >   Kedze vsetci (router + ostatny zakaznici) su pripojeny na "jednom
> mediu",
> >   s roznymi siet. adresami (aby sa "nevideli") a maju nastaveny gateway
> na
> >   moj router, tak ked zistia ze existuje aj kratsia trasa ako ist cez
> router
> >   tak sa dohodnu mimo router. To je ten IP redirect !
> > 
> >   Proste chcem "totalne" riadit vsetky pakety od vsetkych zakaznikov.
> >   Ak by sla nejaka trasa "mimo router" nebolo by to dobre.
> > 
> >   Ja som to skusal riesit ze na routeri som zariadeniu eth0 priradil viac
> >   IP adries. Tymto som zarucil spojenie medzi roznymi typmi sieti na
> jednom
> >   ethernete.
> > 
> >   Tento problem s IP redirectom by asi nebol, keby na kazdeho pripojeneho
> >   klienta by pripadalo jedno siet. zariadenie.
> >   Tento model vsak je nevyhovujuci, nakolko som limitovany poctom
> kariet(sloty,
> >   ...) a v neposlednom rade aj cenou.
> > 
> >   Tu som nacrtol dany problem. :)
> >   
> >                         _______________
> >                   eth0 |Wireless Router| eth0       
> >     ___________________|+MASQ+NAT+     |________________
> >     |192.168.1.2       |+FireWall+ etc.|               |
> >  ---------             |_______________|               |192.168.208.2
> >  |  ISP   |           /        192.168.1.1     --------------
> >  |(klient)|          /         192.168.208.1   |  Klient    |
> >  |________|       ___|________                 | (Win9x)    |
> >                  | n-ty klient|                |____________|
> >                  |____________|
> > 					       
> >   Problem je mozno trivialny: 
> >      Viac sieti na jednom "mediu". 
> >      Zakaznici musia "byt chraneny" pred ostatnymi klientami.
> >      atd..
> >   
> >   
> >   
> > Dik za kazdu pomoc.
> > 
> > 
> > 						Mizu
> > 
> 
> 

-- 
    _    _    _    _.._   _   _
   [ ]  [ ]  [ ]  [__  ] [ ] [ ]
   [ ]\/[ ]  [ ]    / /  [ ]_[ ]
   [_]  [_]  [_]  / /___ [_____]
                 [______] 
      --> Linux Friendly <--
--
-> E-mail:mizu na nextra.sk     
-> ICQ:97165392
-> WWW: http://




Další informace o konferenci linux