2 nic og 16 IP Adresser

måske jeg spørger dumt, men nu ligger adresserne vel på hvert sit subnet?

- ellers får du ikke meget routing til at ske.

Kan du ikke prøve at fortælle lidt mere specikt om hvad du vil have denne løsning til at gøre. Sådan som du skriver det, lyder det som om det ene netkort skal have 16 ipaddresser. Er det rigtigt ?
Eller er det 16 klienter der er forbundet på et subnet, som serveren så skal route trafikken fra/til.

(Håber da ikke det bare er mig der ikke fatter en lyd af det)

Jeg har 16 faste IP adresser, fra min ISP, og de bliver tastet ind på det ene nic (WAN), fra 217.157.39.194 til 217.157.39.206 subnet 255.255.255.240

Nic (LAN), skal jeg så kunne hente de 16 IP adresser uafhengi af hinanden fra feks. 10.106.2.1 til 10.106.2.16 med Subnet 255.255.0.0

Jeg kunne godt tænke mig at hvis jeg feks bruger 10.106.2.1 på LAN siden at jeg så får 217.157.39.194 på WAN siden.
10.106.2.2 til 217.157.39.195
10.106.2.3 til 217.157.39.196
osv..

Lige nu er den instaleret med Win2000 server.

Måtte lese dette spørsmålet 5-6 ganger til jeg fikk tak i det, men tror problemstillingen ligger i innledningen:

"Hej, jeg har en 1400Mhz med 2 NIC, jeg har 16 IP Adresser, og vil rute alle IP Adresser igemmen de 2 Netkort, evt med en Firewall"

Det som står det er vel at det finnes tilgjengelig et subnett som består av 16 eksterne ip. Disse ønskes routet inn gjennom en firewall slik at man får ivaretatt litt sikkerhet.

I utgangspunktet så vil man vel miste 2 adresser, dvs nettveksnummret og broadkastadressen. Mon ikke det effektive antallet adreeser for et sub nettverk med 16 ip blir 14 ?

Hvis man skal sette opp en firewall foran et slikt subnettverk så kan man vel i prinsipp gjøre det på følgende måter:

1. Man kan dele det ene subnettverk i to subnettverk. Tror man da sitter tilbake med 8 ip hvorav 2 går vekk, dvs effektivt 6 ip, dersom man router via en router som har ekstern ip på begge sider.

2. Man kan selvfølgelig sette opp 14-16 Smoothwall i paralell og så la disse natte hver sin eksterne ip. Dette blir kanskje litt mange PC'er.

2. Det skulle vel kanskje i teorien gå ann å sette opp en 16 dobbel nat med 16 eksterne ip tilordnet et inngangskort. Har aldri hørt om noe slikt i praksis. Tviler på at det er praktisk gjennomførbart.

3. Så fines den siste og "beste" mulighet for denne problemstillingen, en bridging firewall som er transparant i forhold til ip nummer serien, dvs som ikke viker inn på fordelingen av ip adresser. Det er vel de færreste firewalls som kan dette, men hos netscreen så skal det finnes et produkt i 10-12 tusen kroners klassen som skal kunne dette:
http://www.netscreen.com/home.jsp?intro=flash

Alle nescreen sine firewall kan vel dette og den billigste som kan det er i denne prisklassen, slik er det vel.

Bortsett fra .. Jeg glemte begrensningen på 10 ip for den billigste versjonen (Lisensen tillater 10 ip)

http://www.netscreen.com/products/at_a_glance/5xt_5xp.jsp

http://www.netscreen.com/products/at_a_glance/50_25.jsp

Linux kan ikke bridging firewalling i standard versjon. Den kan bridging men ikke firewalling, dvs at bridging funksjonen bypasser firewall, dvs full gjennomstrømning. Ville ikke tro at MS ISA server kan bridging firewall heller.
Men netscreen kan det, hvis man bare finner et produkt i overkommelig pisklasse.

det er en del penge får en nystartet, som mig, og jeg ville prøve at spare lidt penge ved at sætte en server op, som kunne klare det for mig,

jeg har tænkt på at købe en sonicwall eller 3com, som den nemme løsning, men igen de koster nemt 18-20.000.- og det er ikke lige de penge jeg har..

håber bare, der ville være en software løsning. (billigt)

http://www.netscreen.no

Men sonicwall og 3com, de har vel bare modeller som er basert på prinsippet "routing firewall" ??? Dette vil igjen si at de i utgangspunktet har de samme begrensninger som ligger i smoothwall ???

Tror ikke det finnes noen god løsning uten om netscreen sin transparante bridging firewall for å få routet/filtrert inn 16 ip inn til et indre nettverk uten å tape ip'er ??

Men hva slags servere er det snakk om ? Hvis det er linux servere så er jo muligheten for "invendig firewall" god.

Alternativt, dersom du kan få tak i en ip no 17 som tilhører et annet nettverk for en billig penge så kunne det muliggens være mulig å få til en rimelig routing firewall som ivaretar alle de 16 (eller de 14 som er tilgjengelige) ??

Tror du kan få filtrert 10 effektive eksterne ip gjennom Netscreen sin rimeligste. Så kan du jo bruke de resterende 4 utenfor hardware firewall.

Ellers Linux ... det går da an å binde opp flere eksterne ip til et kort. Det må da i prinsipp også gå bra å route flere ip'er inn til invendige adresser .. Men 16 .. ?? HAr aldri prøvd og det skulle egentlig ikke forbause meg om dette lot seg gjøre med en standardlinux, dvs for eksempel RedHat. Bare en måte å finne det ut på, det er vel ved å forsøke. Dette ville eventuelt være en routing firewall som router til 16 (14) interne ip. Hva med en liten test via eksperten ??

Grunnen til at det eventuelt kan fungere på en standardlinux og ikke på smoothwall det er at standardlinuxen har uendelig mange flere konfigureringsmuligheter enn det som gjelder for smoothwall. Her har man bare hentet ut en liten delmengde av dette og laget en "enklest mulig standard firewall"

Kan også godt gjøre et lite remoote forsøk på en konfigurering her i fra hvis Linuxen først står der ... (Det skulle være ganske interessant å vite om dette i praksis skulle være mulig å sette opp med Linux. Teoretisk sett så skulle det vel faktisk være mulig (???) med mindre man støter på noen praktiske forhindringer som tilsier at dette nok ikke går allievell. Vet det som sagt ikke.)

Der er ingen problemer i 16 adresser på et netkort i RH - jeg har en maskine med omkring 200 (i samme subnet) - slet ingen problemer. Ved dog ikke noget om bridging firewall

Hei lap !!

16 adresser på et nettverkskort, da skulle det vel også gå greit å sette opp forskjellige dnat setninger for hver enkelt ip og så route dem inn til hvert sin interne ip ??? Det skulle ikke være prinsippielt i veien for dette og da har man jo den løsningen som spørsmålet etterlyser ??!!

Bridging firewall, det var egentlig noe jeg oppdaget ved en tilfeldighet da jeg så/observerte et oppsett med en netscreen firewall som tilsynelatedne fungerte på tvers av "alle naturlover".

Prinsippet er i all enkelhet at man firewaller på et nivå lavere eller så i den berømte OSI modellen. På denne måten så firewaller/filtrerer man mellom forskjellige hardwareadresser i stedet for mellom ip adresser. På denne måten så kan man vel faktisk sette inn en firewall i et nettverk uten å forandre en eneste ip. Fungerer nærmest som en switch med innebygget firewall. Netscreen skal vel ha dette som konfigureringsoption for samtlige av sine modeller. Kjenner ikke til noen andre som har det.

Dersom man forsøker å sette opp dette på basis av en standard Linux kernel så skal det skje at trafikken bypasses på et lavere nivå i OSI stacken med det resultat at iptables sitt regelsett blir bypasset, altså ingen filtreing i det hele. Det skal ha vært gjort forsøk med og det skal være mulig å rekompilere Linux kernel på en slik måte at du endrer dataflowen på en slik måte at det faktisk blir mulig å få iptables til å fungere ut fra prinsippet "bridging firewall". Har aldri testet dette, men det ligger litt info om dette på nettet.

bug30 ->

På basis av opplysningene fra lap så ser det vel faktisk ut som om det bør gå fint å faktisk konfigurere 16(14) ip på det "utvendige" kortet hos en standard Linux, for eksempel Redhat. Disse vil da ligge i det samme subnettet.

Videre så legger jeg til for egen regning at da skulle det da også gå ann å videresende denne trafikken til 16 forskjellige interne adresser som ligger inne på det samme subnett. Man bruker da dnat setninger i iptables som er konfigureringsdelen i Linux sin innebygde router/firewall. Dette skulle bli 16(14) enkle dnat setninger, en for adressering til hver av de interne serverne. Har aldri forsøkt dette men kan ikke se en eneste grunn til at det ikke skulle kunne fungere ??!!

lap -> enig ??

.. Men det er selvfølgelig snakk om et subnett på utsiden av firewal og et annet på innsiden .. Det ene med 16(14) eksterne iper tilordnet det yttre kort og det annet med 16(14) interne iper fordelt på indre servere pluss en ip no 17 som intern gateway adresse.

langbein, bug30> Jeg har bestemt ikke dit indblik i firewalls, men måske du kan bruge denne: www.elronsoftware.com Det er en 25-bruger firewall der kører på en Pentium 1 med 64 MB RAM, NT4.0, 2 netkort og som kan brigde. Den kan installeres på 5 min. Har som udgangspunkt lukket for alt begge veje, men man bliver guidet igennem, så man bruge internet, mail, dns. Man kan downloade en trailversion.

Mvh. Vanni

set fra min side er det ok - jeg ahr dog aldrig prøvet det. En dag må jeg prøve ...

Hvorfor dog ikke bare bruge supernetting, således at én IP dækker over alle 16 set fra FW....?

Hvordan gjør man det i det konkrete tilfellet ?
http://www.webopedia.com/TERM/C/CIDR.html

Er ikke dette eventuelt det samme som å dele inn i flere subnet med en følge at flere ip'er går tapt ??

Jamen du beregner bare en subnetmaske som "dækker" over det område du vil have "dækket", altså supernetter du en klasse C med 2 bit, så har du en /22 (255.255.252.0) og har derved et subnet der rummer 255 *2 *2 = 1024 adresser. I dit tilfælde skal du bare supernette med det antal bit der dækker 16 adresser, vanligvis 4 bits til højre. Her supernetter man og dvs antallet af bits bestemmes af hvor du står med din nuværende subnetmaske. Og pointen er: Du har faktisk supernettet dine adresser så alle dine 16 ER på samme netværk, men ved at SUBNETTE hver enkelt med /32, kan du faktisk få HVER adress til at funke som enkelte netværk... Har jeg forstået det rigtigt, at det er det du vil ????

Måtte tenke meg om en 12-15 ganger for i det hele å komme på hva egentlig "supernetworking" egentlig er for noe.

Det står litt forklaring her:
http://www.net-faq.dk/faq.pl?get=ip
og her:
http://public.pacbell.net/dedicated/cidr.html

Superneting er vel egentlig bare et spesieltilfelle av det mere generelle begrepet "Classless routing", dvs en inndeling i nettverk og ip adresser som er anderledes en den tradisjonnelle inndeling i A, B og C nettverk.

Når man på denne måten samler for eksempel 4 stk klasse c nettverk a 256 adresser til et "supernettverk" på 4x256=1024 adresser så kan man vel snakke om et supernettverk, alstså "sammenstilling" av 4 stk klasse C nettverk, blir det vel.

Når man bruker den samme adresseringsteknikken til å dele opp et klasse C i flere subnettverk så synes jeg det blir kunstig å kalle dette supernetwerking ?? Det er vel tvert i mot snakk om "subneting" vha den samme adresseingsteknikk som benyttes ved "supernetworking". Ved å bruke denne adresserings og submaske tekikken så kan man for eksempel dele opp et klasse C nettverk i flere mindre nettverkssegmenter, for eksempel et segment eller et subnett på 16 adressen. Synes at "classless routing" må være et mere dekkende begrep omkring dette enn "supernetworking" ettersom det reelt sett dreier seg om oppdeling i subnett.

Kunden eller brukeren er jo i dette tilfellet allerede tildelt 16 adresser, fra et klasse A, B eller C nettverk. Dette må vel bety at ISP eller linjeleverandøren allerede har tatt i bruk prinsippet ved at han er i stand til å tilby subnett a 16 ip adresser.

Jeg kan vanskelig se at det har noen prinsippiell betydning for oppsett av en firewall hvorvidt man benytter en tradisjonell oppdeling i nettverksklasser eller man benytter prinsippene for "classless routing". (????)

Prinsippet blir jo uansett at for en routing firewall så må hver side av firewall ha hvert sitt subnett på hver sin side av firewall. Adresseringsteknikken og måten å dele opp ip adresse seriene på skulle vel ikke ha noen betyding i forhold til dette grunnprinsippet for firewalling ??

Den eneste måten å komme forbi denne problemstillingen det blir vel via bridging firewalling, dvs en firewall som filterer i forhold til hardwareadressene til nettverksadapterne ??

De 16 ipene vil vel i utgangspunktet ligge på det samme subnett slik som disse i utgangspunktet er levert fra ISP ?? Dersom man setter opp en filtering firewall på en Linux som i utgangspunktet router alle disse 16 adressene inn til et innvenddig lan, så vil det vel være mest naturlig å la alle disse ligge innefor det samme subnettet, selv om dette i praksis vil være "fritt valg". Det vil vel i den sammenheng ikke by på noe problem å dele opp i et vilkårlig antall subnett på "filtrert siden"

Jeg ville i utgangspunktet tro at det er mulig å sette dette vha en standard Linux som jobber ut fra et "routing firewalling prinsipp", dersom man ønsker en rimelig løsning. Hele problemstillingen blir her å konfigurere de 16, dvs 14 adressene til det utvendige kortet. (adresse 1 vil jo normalt være nettverksnumret og adresse 16 vil vel være broadcast slik at disse reelt sett går bort.)

Skulle ikke tro at det forhold at ISP nødvendigvis må benytter "classless routing" for å dele ut 16 adresser, altså den samme adresseringsteknikken som benyttes ved "supernetworking" skulle ha noen betyding for prinsippene for firewalling ??

Er det jeg som ikke forstår ??
Hvordan skulle man ellers fordele adresser mellom filtrert og ufiltert side av firewall ?? Må ikke en routing firewall nødvewndigvis fungere som en router mellom minst to subnettverk ??

bug30 -> Svaret er altså at det sannsynligvis vil fungere med en standard Linux, for eksempel RedHat. Den må være konfigurert slik at de 16 eksterne ip ligger på det ytre kortet. Det vil så behøves et firewall script som setter opp trafikk og som eventuelt filterer trafikken i nødvendig omfang og så et innvendig kort. Med mindre du ønker å dele opp i videre subnett på filtrert side så skal det invendige kortet bare konfigureres på helt "ordinær måte" med en enkelt adresse. De videre 16(14) (eller flere) innvendige adressene vil så være fordelt på de innvendige adressene dvs mellom serverne. Disse vil være i lokal ip range. Kunne eventuelt forsøke å bidra med et slikt script hvis først de 16 eksterne ip er på plass. Skulle være morsomt å se om dette kjører. (Og det skulle man tro at det gjør.)

netmanden -> Mon du har rett i at det er mulig å få en "routing firewall" til å fungere etter hensikten ved spesiell adresseringsteknikk ut fra samme prinsipp som for "supernetting" ?? Har du noe mere utdypende info om dette ??
Her er det i hvert fall en link der de har plassert to ganske like ip på hver sin side av firewall/router
http://spod.cx/proxyarp.shtml

netmanden + lap -> Se: http://www.eksperten.dk/spm/398946
Problemstillingen er vel egentlig hele tiden den samme ??

Denne artikkelen refererer egentlig til den nå "utgåtte" Linux 2.2.x kerne,
mon ikke prinsippene i dag blir de samme, bortsett fra at det sansynligvis er mulig å dnatte flere eksterne ip via iptables ??
http://www.linux.org/docs/ldp/howto/IP-Masquerade-HOWTO/multiple-ips.html

Problemstillingen ser også ut til å kunne løses vha Zywall 10, som faktisk ser ut til å kunne bridging firewalling, dvs mange globale ip'er inne på dmz.

http://www.eksperten.dk/spm/398946

hej, undskyld jrg ikke har været på, før nu, skulle lige terpe til køreprøver, (Jeg bestod).

Det ser ud til jeg har sat en en del i gang, :)
Men nu har jeg prøvet en 3Com Firewall, jeg har lånt af en kolega.
og det ser ud til at det virker, men han vil have en forkert pris for den.
så jeg vil lige prøve det som netmanden og vanni siger.
Hvis noget af dette virker, føler jeg ikke der er sat nok point til rådihed.