Lipetsk *nix Association Forum Lipetsk *nix Association Forum
Новости:
 
*
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?
28 Ноября 2024, 20:08:17


Войти


Страниц: [1] 2   Вниз
  Печать  
Автор Тема: Корпоративная сеть и внешка  (Прочитано 21587 раз)
0 Пользователей и 4 Гостей смотрят эту тему.
WhiteGhost
Юзверь
**

Карма: 0
Сообщений: 48


Награды
« : 31 Июля 2008, 21:14:28 »

ребят в общем тема такая. есть корпаративная сеть, в офисе АДСЛ модем подключен к ЦИСКЕ, адреса у компов типа 10.и т.д. основным шлюзом в офисе стоит ЦИСКА с адресом 10......65. как мне сделать чтобы только определённые компы выходили во внешку через ещё один модем? ну тоесть я скажем воткнул в хаб ещё один АДСЛ модем D-Link 500T с адресом 10....72 когда я основным шлюзом прописываю 72 то соответственно комп ходит во внешку но не ходит в корпаративную сеть. как и что мне сделать чтоб комп одновременно ходил и во внешку и в корпоративку? подрубить модем могу и в хаб и к серверу через ещё одну сетевуху, как угодно кароч лиш бы раздать нет на определённые компы.
« Последнее редактирование: 13 Августа 2008, 12:57:48 от RemDerBauer » Записан
desperate
Не говорите, как мне жить, а я не скажу, куда вам идти :)
Администратор
*****

Карма: 65535
Сообщений: 1254


OpenSuse 11.4 - XFCE


WWW Награды
« Ответ #1 : 31 Июля 2008, 22:11:27 »

наглядно изобразите сеть пожалуйста?
из того что понял, то адсл к серверу и man iptables
Записан


Мой персональный блог "Шутки ради"
WhiteGhost
Юзверь
**

Карма: 0
Сообщений: 48


Награды
« Ответ #2 : 31 Июля 2008, 22:24:37 »

блин и не знаю как изобразить то... Грустный
в общем. есть циска, в неё воткнут АДСЛ модем. и хаб на 24 порта. вся локалка в хабе.
в сеть корпаративную все выходят через ЦИСКУ она стоит основным шлюзом. с адресом 10......65
ну и все адреса в корпаративной сети на 10 начинаются. тоесть АДСЛ модем он в режиме бриджа.
я хочу врубить ещё 1 модем, хоть куданить, и чтоб через него выходили те компы кот. я на это настрою. желательно чтоб они выходили через него как через прокси, ну тоесть на сервер скажем поставить ещё 1 сетевуху и юзверьгейт или чтонить наподобе под CentOS и как нить так. или может ещё как. посоветуйте плиз. если что неясно излагаю скажите постараюсь точнее выразится
Записан
NeO
Злобный админчик
Администратор
*****

Карма: 62
Сообщений: 2376

Debian Stretch


WWW Награды
« Ответ #3 : 31 Июля 2008, 23:05:06 »

а
route -p add адрес_внутренней_сети mask маска_внутренней_сети адрес_циски
route -p add default адрес_мопеда
на клиентах не айс? (если клиенты на никсах, то синтаксис ессно другой, но смысл думаю ясен)

Можно конечно все на циске разрулить, но там такая портянка конфига получится, что почти страшно Улыбка
Записан
paul
Юзверь
**

Карма: 0
Сообщений: 47


Kubuntu 7.04


WWW Награды
« Ответ #4 : 31 Июля 2008, 23:17:11 »

Можно конечно все на циске разрулить, но там такая портянка конфига получится, что почти страшно Улыбка
Ну не надо пугать человека Улыбка Кошки вещь хорошая.
WhiteGhost модель кошака в студию. В какой Fa включен хаб, как включен модем (если это shdsl то один вариант), если внешний, то в какой Fa?

В принципе, можно по разному это дело разрулить. Недостаточно данных.
Записан

---
WhiteGhost
Юзверь
**

Карма: 0
Сообщений: 48


Награды
« Ответ #5 : 01 Августа 2008, 08:41:50 »

не вот как раз желательно ЦИСКУ не трогать. можем для корп. сети стоит внешний зюхель P660RT2 EE. выходить во внешку хочу с D-Link 500T. просче для меня было б наверно в сервер ткнуть сетевушку ещё одну и как нибудь так настроить чтоб сервер был типа прокси сервером. но эт ток я так думаю Улыбка я собстно и не знаю как это настроить Грустный

так это вбить на сервере?
а
route -p add адрес_внутренней_сети mask маска_внутренней_сети адрес_циски
route -p add default адрес_мопеда
а на клиентских тогда что прописать? пока клиентские ток на винде
« Последнее редактирование: 01 Августа 2008, 08:43:55 от WhiteGhost » Записан
NeO
Злобный админчик
Администратор
*****

Карма: 62
Сообщений: 2376

Debian Stretch


WWW Награды
« Ответ #6 : 01 Августа 2008, 08:48:15 »

так это вбить на сервере?
а
route -p add адрес_внутренней_сети mask маска_внутренней_сети адрес_циски
route -p add default адрес_мопеда
а на клиентских тогда что прописать? пока клиентские ток на винде
проще говоря, на тех компах, которые должны ходить через 72, пропиши основным шлюзом 72 и добавь
route -p add адрес_внутренней_сети mask маска_внутренней_сети адрес_циски

сервер вообще не трогай, он тебе нафиг не сдался.
Записан
WhiteGhost
Юзверь
**

Карма: 0
Сообщений: 48


Награды
« Ответ #7 : 01 Августа 2008, 10:18:49 »

блин мне стыдно  Непонимающий но куда добавить
route -p add адрес_внутренней_сети mask маска_внутренней_сети адрес_циски
C:\WINDOWS\system32\drivers\etc\hosts сюда? или просто в командной строке
и прописать типа - route -p add 10......75(адрес этого компа или адрес сетки 10.1.1.1 или как? чтоб всю сеть десятошную видеть) mask 255.255.255.192(моя маска) 10........65(моя циска, основной шлюз для корпаративки)
так?
ещё момент, при попытке пингануть какой либо адрес не из моей подсетки выдаёт - 192,168,219,49 заданная сеть недоступна. причём тут 192.... если у мя всё на 10... (липецкие и моей подсетки пингуются без проблем) ну тоесть моя подсеть например 10.100.11.65(циска) основным шлюзом у мя щас прописан модем 10.100.11.72 локалку свою я вижу, копирую и т.д. а вот на сайт внутренний зайти не могу скажем на 10.1.12.11 вот, а в липецкую сеть и инет хожу, мне надо чтоб и в липецкую и в корпаративную и без лишних действий
« Последнее редактирование: 01 Августа 2008, 14:02:32 от WhiteGhost » Записан
paul
Юзверь
**

Карма: 0
Сообщений: 47


Kubuntu 7.04


WWW Награды
« Ответ #8 : 01 Августа 2008, 20:50:37 »

sh ip route с кошки в студию.
Почему такая боязнь кошек то я не понимаю? От того что это громкое название, или приказ начальства, извратиться как угодно, но не трогать кошака?
Записан

---
An-73
Никсоид
****

Карма: 2
Сообщений: 308


Mandriva сдулась - теперь Ubuntu 9.04 мучаю


Награды
« Ответ #9 : 01 Августа 2008, 23:12:54 »

Ну насколько я понял, челу надо прописать таблицу соответствия адресов гейтам. Т.е. если с компа ххх идет обращение к адресу 10,*.*.* то ломиться через гейт 10.1.1.1 (например), а если идет обращение к адресу www.yandex.ru то ломиться через гейт 192.168.1.1.... (Ну это для примера).

Т.е. чел имеет в виду, что в локалке есть 2 alsl модема - официальный, в режиме бриджа, подрубленный к циске официально (по договору для юр.лиц, без бесплатного липецкого траффика), и левый (подпольный), подрубленный в обычный порт циски (по карте СТК, напрмер на безлимитку), работающий в режиме роутера. Для официальных запростов гейтом работает сама циска, а для левых, админских целей хочется иметь безконтрольный траффик мимомо систем контроля циски (мимо Московкого прокси сервера VPN) через роутерный модем.(кста - это огромная дыра в системе безопасности, но думаю это чел сам понимает)

Циску настраивал не он, и все его полномочия заканчиваются конктерно взятым компом.

Кста - Леха - ftp и самбу для файлопомойки мы настроили. Тебе на понедельник осталось OpenLDAP и PDC на SUSE 10.3 завести (все репы подключены, а том числе надеюсь будет пакмановская к понедельнику), ну и обучить новую админшу (Лену), как это поддерживать  Показывает язык
« Последнее редактирование: 01 Августа 2008, 23:32:23 от An-73 » Записан

Все достало - жду 2012 года. Улыбка
WhiteGhost
Юзверь
**

Карма: 0
Сообщений: 48


Награды
« Ответ #10 : 03 Августа 2008, 21:47:55 »

ну Андрей ты как никто другой можеш мя коментировать Улыбка
в общем всё в точности так и есть только 2й модем не в циску вообще а просто в хаб. ну в общем пхну я его куда угодно лиш бы попросче и работало. ребят подскажите плиз кто знает как а то оч уж надо.
P.S. админ Лена ыыыыы ЖЕСТЬ!!!
« Последнее редактирование: 03 Августа 2008, 22:17:09 от WhiteGhost » Записан
paul
Юзверь
**

Карма: 0
Сообщений: 47


Kubuntu 7.04


WWW Награды
« Ответ #11 : 03 Августа 2008, 23:25:45 »

Самое простое - прописать на требуемых компах default route на 2й модем, а маршруты в локалку добавить руками. Так должно работать все как часы.
Записан

---
WhiteGhost
Юзверь
**

Карма: 0
Сообщений: 48


Награды
« Ответ #12 : 04 Августа 2008, 06:54:05 »

paul спасибо конечно за ответ, я то в общем понял что это самое простое, но если тебе не сложно распиши плиз поподробнее как это сделать. просто понять как это одно а потом оказывается что чтото недопонял а когда вот написано, сделай так, тогда уж легче обсуждать что не получилось Улыбка
Записан
An-73
Никсоид
****

Карма: 2
Сообщений: 308


Mandriva сдулась - теперь Ubuntu 9.04 мучаю


Награды
« Ответ #13 : 04 Августа 2008, 22:13:06 »

http://lists.unixcenter.ru/archives/mlug/2003-February/009011.html
На этом адресе финал диалога:
Цитировать
>    Не работает, потому что у меня уже есть default, а pppd его не заменяет.

странно... я правда не проверял, но в мане ничего насчет "выставить
default, если у вас default нет, иначе ..." не нашел, там сказано просто
и ясно: "Add a default route to the system routing tables, using the
peer as the gateway, ... This  entry  is removed when the PPP connection
is broken. ..."

>> Дело в том, что старый default route не надо убирать, в таблице
>> маршрутизации их может быть сколько угодно, а работать будет всегда
>> наиболее специфичный маршрут или последний добавленный, если они
>> одинаково специфичны (как например и default маршрут ;o) ).
>
>    Никогда в жизни у меня это не работало. То есть если у меня стоит 2
> defult'а, то маршрутизация вовне просто не работает вообще. Я этого никогда
> не мог понять, сейчас самое время выяснить. Улыбка
>    Что значит "наиболее специфичный"?

с самой длинной (в битах) маской: /24 (255.255.255.0) специфичнее, чем
/8 (255.0.0.0), ну и, естественно, самый "неспецифичный" default -
0.0.0.0.

> Если у меня стоит маршрутизация (netstat -rn:)
>
> 0.0.0.0         10.110.21.1     0.0.0.0         UG       40 0          0 eth0
> 0.0.0.0         192.168.12.21   0.0.0.0         UG       40 0          0 ppp0
>
>    то как будет маршрутизироваться пакет на адрес 194.67.88.10?

по последнему добавленному  - через ppp0, или по маршруту с наибольшим
приоритетом, если используется linux 2.4 и iproute.

у меня, например, после добавления:
shell# route add default lo
shell# netstat -rn
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
10.240.28.0     0.0.0.0         255.255.254.0   U        40 0          0 eth0
0.0.0.0         0.0.0.0         0.0.0.0         U        40 0          0 lo
0.0.0.0         10.240.29.254   0.0.0.0         UG       40 0          0 eth0

все пакеты не в локальную сеть начинают честно ходить на интерфейс lo.
(ну нет у меня под рукой модема Подмигивающий )
так что, воспользуйся tcpdump'ом и ищи в чем проблема...
Если непонятно - можно поглядеть предидущие сообщения, но проблема аналогичная.
Записан

Все достало - жду 2012 года. Улыбка
WhiteGhost
Юзверь
**

Карма: 0
Сообщений: 48


Награды
« Ответ #14 : 13 Августа 2008, 11:35:32 »

так то оно канечно так, и оно работает НО при использовании внешки корпаративная аська например отваливается, и есстно  остальнве проги корпаративные тоже, что нежелательно. способ рабочий но в моём случае хотелось бы выходить во внешку именно вписав прокси. подскажите плиз если кто знает.
Записан
Страниц: [1] 2   Вверх
  Печать  
 
Перейти в:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.21 | SMF © 2011, Simple Machines

Valid XHTML 1.0! Valid CSS! Dilber MC Theme by HarzeM