перекрывающиеся адреса

[KiWi]

короч, появилась идея поставить комп, который бы смотрел в 2 сети и качал то, что надо и т.д.
но вот сейчас думаю, надо ли? так как в этих сетях перекрываются адреса, то есть обе сети - 10.0.0.0/8, вот как бы разрулить всё это дело, чтобы был одновременно доступ в обе сети? то есть можно как-нить перекинуть одну сеть на 240.0.0.0/8?
плюс что делать с днсками, так как там есть и внутренние адреса?

mani13 добавил в 11.06.2005 19:12

конфиг, если нужен:
первая сеть:
addr - 10.0.41.46
mask - 255.255.248.0
настраивается вручную, есть авторизатор, который можно отключить
вторая сеть:
addr - 10.3.18.15
mask - 255.255.255.0
dhcp

даже желательнее, наверно, поместить обе сети в 10.0.0.0/8, если такое возможно....

[KiWi]

собственно, порыскал по и-нету, понял, что нужен static nat
тогда возникает другой вопрос, как и чем конфигурить, так как хотелось бы всё-таки pcшный роутер...

[sash-kan]

Для mani13:
для организации nat (network address translation) обычно используется iptables.
для начала лучше все-таки почитать какую-нибудь доку по его настройке.
есть, конечно, и фронтенды, (якобы) облегчающие его конфигурирование.
на вскидку - например, shorewall.

[KiWi]

Для mani13:
для организации nat (network address translation) обычно используется iptables.
для начала лучше все-таки почитать какую-нибудь доку по его настройке.
есть, конечно, и фронтенды, (якобы) облегчающие его конфигурирование.
на вскидку - например, shorewall.

↑

static nat'а там нет, есть snat, dnat, но это не то, что хотелось бы, а если обрабатывать ипшники поштучно, то роутер повесится (:

[Igor B.]

Встряну-ка я в разговор умных людей...

Какой статик нат? В начальном сообщении ясно указаны маски и адресация. В подсетях разная адресация! Если указаны приведенные маски - то это уже не сети класса А, а "бесклассовые" сети! Посему вопрос решается до скучного просто - ставишь комп с двумя сетевухами, указываешь на этих сетевухах адреса и маски соответствующих подсетей - и получаешь полное счастье от качания из обеих сегментов. А если надо, чтобы через этот комп две сети между собой обменивались - то включаешь форвардинг на этом роутере и настраиваешь маршруты на компах подсетей (или на их дефолтных роутерах)...

[KiWi]

Встряну-ка я в разговор умных людей... 

Какой статик нат? В начальном сообщении ясно указаны маски и адресация. В подсетях разная адресация! Если указаны приведенные маски - то это уже не сети класса А, а "бесклассовые" сети! Посему вопрос решается до скучного просто - ставишь комп с двумя сетевухами, указываешь на этих сетевухах адреса и маски соответствующих подсетей - и получаешь полное счастье от качания из обеих сегментов. А если надо, чтобы через этот комп две сети между собой обменивались - то включаешь форвардинг на этом роутере и настраиваешь маршруты на компах подсетей (или на их дефолтных роутерах)...

↑

есть 10.0.0.5 в одной сети и 10.0.0.5 в другой, надо иметь доступ одновременно к обоим, и что?

[Warderer]

Судя по маске, во второй сети могут быть только адреса 10.3.18.1-10.3.18.254. Откуда бы там взяться 10.0.0.5?

[KiWi]

Судя по маске, во второй сети могут быть только адреса 10.3.18.1-10.3.18.254. Откуда бы там взяться 10.0.0.5?

↑

в пределах сегмента - да, вообще - нет, и в той, и в другой сети...
наверно запутал я вас...
в обеих сетях юзаются приватные адреса 10.0.0.0/8
конкретные сегменты - маски выше
в 1ой сети сейчас используются 10.0-1, дальше, наверно, не пойдут
во 2ой сети - 10.0-5, мб, есть и 10.6, но такого я пока не видел...

[Igor B.]

в обеих сетях юзаются приватные адреса 10.0.0.0/8
конкретные сегменты - маски выше

Т.е. с обеих сторон этого роутера будут сегментированные сети? А адресация

addr - 10.0.41.46
mask - 255.255.248.0
настраивается вручную, есть авторизатор, который можно отключить
вторая сеть:
addr - 10.3.18.15
mask - 255.255.255.0

- это в непосредственно прилегающих к роутеру сегментах этих сетей? И во второй сети DHCP только в прилегающем сегменте, а в других сегментах - тоже статики? И возможны клиенты в той и другой сети с одинаковыми адресами? Клево... И как роутер, получив (и/или возжелав отправить) пакет на адрес 10.0.0.5 должен решать, в какую из подсетей (на какой интерфейс) его отправить? Особенно, если этот пакет пришел от адреса 10.0.0.5? По входящим интерфейсам? А если пакет сгенерил он сам, и входящего интерфейса просто нет? И опять же, как стоит задача? Только с этого компа лазить в обе сети, или еще и служить маршрутизатором между этими подсетями? Если и второе, то как ты настроишь таблицу маршрутизации на клиенте?

Мне кажется, что задача не решается в такой постановке никакими iptables. Я так думаю, что в какой-то из сетей (или сегменте) придется менять адресацию. Проще всего там, где адреса раздаются через DHCP.

[KiWi]

- это в непосредственно прилегающих к роутеру сегментах этих сетей? И во второй сети DHCP только в прилегающем сегменте, а в других сегментах - тоже статики? И возможны клиенты в той и другой сети с одинаковыми адресами? Клево... И как роутер, получив (и/или возжелав отправить) пакет на адрес 10.0.0.5 должен решать, в какую из подсетей (на какой интерфейс) его отправить? Особенно, если этот пакет пришел от адреса 10.0.0.5? По входящим интерфейсам? А если пакет сгенерил он сам, и входящего интерфейса просто нет? И опять же, как стоит задача? Только с этого компа лазить в обе сети, или еще и служить маршрутизатором между этими подсетями? Если и второе, то как ты настроишь таблицу маршрутизации на клиенте?

Мне кажется, что задача не решается в такой постановке никакими iptables. Я так думаю, что в какой-то из сетей (или сегменте) придется менять адресацию. Проще всего там, где адреса раздаются через DHCP.

↑

1. поменять адресацию не получится(уж простите, но это сети городского уровня, с количеством пользователей 4тыс и 8тыс пользователей, к администрации сетей я не имею почти никакого отношения(ну только знаком, не более))
2. да я сам понимаю, что определить куда оно должно лететь - невозможно
3. пока что идея такова:
1сеть--роутер(snat)--pcшный роутер ---- домашняя сеть
2сеть-------------------ака фтп,хттп и т.д.

хотелось бы проверить вариант до покупки
вообще, в теории, такой вариант должен прокатить, так как в таком случае на pcшном роутере будет всё отлично -
240.0.0.0/8
10.0.0.0/8
192.168.0.0/16

задача: одновременно лазить по обеим сетям + непосредственно на роутере держать фтп,хттп и т.д., НО ни в коем случае не давать из 1 сети попасть во 2, так как правила пользования сетями, по которым можно остаться без обоих сетей (:

[Igor B.]

Если вопрос с маршрутизацией между сетями не стоит, то дело выглядит более простым. Возможно, даже реализуемым без дополнительного роутера, осуществляющего nat одной из сетей.

Идея такая (проверить не могу, поэтому все нижеизложенное - чисто голословно):
1. ставим на писишный роутер с линуксом iptables
2. В нем рисуем правило, что все пакеты, пришедшие на интерфейс 1 подвергаются смене первого октета исходного адреса на, предположим, 11.
3. Рисуем правило, что все исходящие пакеты на этот интерфейс подлежат подмене первого октета на 10.
4. В таблице маршрутизации указываем, что пакеты на подсеть 11 подлежат маршрутизации на интерфейс 1.

Фишка в том, что решение о маршрутизации принимается после применения правила из п.2 и до правила из п.3. Но вот не помню, позволяет ли синтаксис iptables поменять только первый октет в адресе пакета...

А вариант с дополнительным роутером проходит однозначно. Можно прибарахлиться недорогой коробочкой от D-Link (ну люблю я их девайсы, и активно использую в разных местах), там много подходящих.

[KiWi]

Фишка в том, что решение о маршрутизации принимается после применения правила из п.2 и до правила из п.3. Но вот не помню, позволяет ли синтаксис iptables поменять только первый октет в адресе пакета...

А вариант с дополнительным роутером проходит однозначно. Можно прибарахлиться недорогой коробочкой от D-Link (ну люблю я их девайсы, и активно использую в разных местах), там много подходящих.

↑

фишка в том, что в iptables такого нет, по крайней мере я не видел....


а коробочку надо поискать подходящую...

[Igor B.]

Фишка в том, что решение о маршрутизации принимается после применения правила из п.2 и до правила из п.3. Но вот не помню, позволяет ли синтаксис iptables поменять только первый октет в адресе пакета...

↑

фишка в том, что в iptables такого нет, по крайней мере я не видел....

↑

Действительно нет, полистал сейчас учебник. Более того, если в качестве результата подмены указать диапазон адресов, то они будут подставляться случайно, и нет возможности сказать, что замещение надо производить линейно...

Теоретическая возможность все равно остается :thumbsup: - воспользоваться действием QUEUE, навесив на него свой обработчик, заменяющий первый октет. Но API не видел, и даже не представляю себе, насколько это сложно...

[Igor B.]

Вопрос еще интересен? Я тут наткнулся на одну фишку в netfilter - NETMAP. Она позволяет сделать статик мап одной подсети на другую. Кажется, это то, что ты искал...