Co muze tropit spatne nastaveny GATEWAY ?

Printable View

18.01.2005, 20:54
Helium

Co muze tropit spatne nastaveny GATEWAY ?

Co muze tropit spatne nastaveny GATEWAY ?

IP 192.168.1.10
Mask 255.255.255.0
Gate 192.186.1.1

nebo

IP 192.168.1.10
Mask 255.255.255.0
Gate 127.0.0.1

???
18.01.2005, 20:59
KUBA

Nedostaneš se dál než do svého subnetu.
Pokud tím ale nastavuješ default gateway, tak jí poslat na localhost je pakárna, nemůže to chodit.

Představoval bych si to tak, že když nějakej packet odchází z tvýho kompu, tak si ho to prohlídne. Pokud má destIP v tvém subnetu, tak rovnou posílá a je to v pohodě. Pokud je destIP mimo tvůj subnet, tak to pošle na defaultní gateway, což máš localhost (nevim jestli to vůbec pošle, když je to taky mimo subnet konfigurovaného rozhraní). No a localhost to může třeba vzít a zkusit poslat znovu na localhost :-) . Pak to bude chvilku běhat dokolečka, než vyprší TTL. Tak to ale asi nebude, chtělo by to zkusit :-) .
18.01.2005, 21:20
Jezevec

1. variantu by ti rozumnej system nemel povolit zadat (alespon hlaska o nesmyslnosti), protoze neznas cestu k tomu kompu => neni kam to poslat.
2. varianu ti to povoli, bylo by to asi v nekterych spesl pripadech pouzitelny (na loopbacku naslouchajici scaner ... => snaha to nejdriv poslat pres nej). Ovsem veskery dalsi routovani by musel zajistit ten SW.
18.01.2005, 23:47
Fox!MURDER

dobra otazka :) dostatecne blbej OS by ten paket moh stejne vyblejt na nejakym interfacu ... a kdyby byl router v promiscuitnim modu tak by to i odroutoval :) (a pripadne by to moh bejt broadcast kdyz to nevi MAC GW) ale to sou samy kdyby :)
nejspis to proste nebude fungovat :)
19.01.2005, 15:52
Helium

Citace:

Původně odeslal Jezevec

1. variantu by ti rozumnej system nemel povolit zadat (alespon hlaska o nesmyslnosti), protoze neznas cestu k tomu kompu => neni kam to poslat.
2. varianu ti to povoli, bylo by to asi v nekterych spesl pripadech pouzitelny (na loopbacku naslouchajici scaner ... => snaha to nejdriv poslat pres nej). Ovsem veskery dalsi routovani by musel zajistit ten SW.

tu 1. variantu jsem nasel na jednom PC s Win NT4 Wks a chovalo se
to obcas divne tak ze na nej bylo videt, ale to PC jiz nevidelo kamkoliv
// ping na PC byl OK, ale z toho PC ne //
ale jen obcas
19.01.2005, 15:54
Helium

Citace:

Původně odeslal KUBA

Nedostaneš se dál než do svého subnetu.
Pokud tím ale nastavuješ default gateway, tak jí poslat na localhost je pakárna, nemůže to chodit.

Představoval bych si to tak, že když nějakej packet odchází z tvýho kompu, tak si ho to prohlídne. Pokud má destIP v tvém subnetu, tak rovnou posílá a je to v pohodě. Pokud je destIP mimo tvůj subnet, tak to pošle na defaultní gateway, což máš localhost (nevim jestli to vůbec pošle, když je to taky mimo subnet konfigurovaného rozhraní). No a localhost to může třeba vzít a zkusit poslat znovu na localhost :-) . Pak to bude chvilku běhat dokolečka, než vyprší TTL. Tak to ale asi nebude, chtělo by to zkusit :-) .

muze ten gateway s nastavenim na localhost delat tu neplechu,
ze by obcas zpomaloval, priblokovaval komunikaci
// to sem nasel na par zarizenich co maji komunikacni problemy,
a jine kusy ktere maji gateway vyply (0.0.0.0) chodej lepe //
takovy kramy s casti jadra z VRTX
??
19.01.2005, 16:31
IntEx

Ciste teoreticky ano, protoze se porad musi "zabyvat" tim kolujucim packetem, dokud mu nevyprsi TTL.
19.01.2005, 16:38
Jezevec

Nastavit jinou GW nez na pripojenym subnetu sem zkusel (pod linuxem) a nepovolilo. Pritom routu na ten komp samo znal. Docela by se mi to totiz hodilo ;). Ale z principu IP protokolu to proste nemuze fungovat.

Ip paket se proste veme, podivam se na dst IP a
A) bud je v mym subnetu => du do arp podivat se na MAC
B) znam routu do jejiho subnetu => podivam se kerej komp v mym subnetu je dalsi hoop a zase zjistim MAC
C) neznam routu => poslu to na default (pokud neni, tak do /dev/null a vratim error)

To ze widle povolej zadat <>iny je normal, taky se to pak podle toho (naprosto nedefinovane) chova. Staci se podivat jak vypada jejich standard routo tabule. Hruza.

Edit: 2. moznost a zpomalovani. To je jasne, pokud mas povoleny routovani, tak viz. vejs. Bezne ma paket ttl nastavenou na 255 => 255x ti to pobezi ve smycce a pokud je provoz dostatecnej, tak uplne zablokujes routovani na znamy routy.
19.01.2005, 16:59
Marty

To ze to chodilo (to=co?) - kdyby chodil treba jen internet, tak to muze byt tim ze tam mohl byt napr. nainstalenej klient pro transparentni proxy (kdysi jsem zazil u MS Proxy 2.0) ...
19.01.2005, 17:30
Helium

Citace:

Původně odeslal Marty

To ze to chodilo (to=co?) - kdyby chodil treba jen internet, tak to muze byt tim ze tam mohl byt napr. nainstalenej klient pro transparentni proxy (kdysi jsem zazil u MS Proxy 2.0) ...

byla to lokalni sit s prednastavenym gatewayem (nevyuzitym) na nejnizssi
adresu z rozsahu ale nebylo kam routovat
obcas to nechodilo lokalne
19.01.2005, 20:20
tomaash

Citace:

Původně odeslal Jezevec

Nastavit jinou GW nez na pripojenym subnetu sem zkusel (pod linuxem) a nepovolilo. Pritom routu na ten komp samo znal. Docela by se mi to totiz hodilo ;). Ale z principu IP protokolu to proste nemuze fungovat.

Ip paket se proste veme, podivam se na dst IP a
A) bud je v mym subnetu => du do arp podivat se na MAC
B) znam routu do jejiho subnetu => podivam se kerej komp v mym subnetu je dalsi hoop a zase zjistim MAC
C) neznam routu => poslu to na default (pokud neni, tak do /dev/null a vratim error)

To ze widle povolej zadat <>iny je normal, taky se to pak podle toho (naprosto nedefinovane) chova. Staci se podivat jak vypada jejich standard routo tabule. Hruza.

Podla mna to taka <>ina nebude, videl som vela pripadov, kde bola gateway v inej subnete a fungovalo to. Nikdy som sa vsak blizsie nezamyslal, preco.

Podla mna by to mohlo fungovat napriklad takto:
Gateway ma na interfejsi nejaku stedru subnet masku (vela bitov pre adresovanie hostov) a za tym interfejsom je niekolko dalsich subnetov tejto subnetky (pouzijeme variable lenght subnet mask, cize rozsubnetujeme uz existujuci subnet). Napriklad nech ma ten interface ip adresu 10.1.0.1 a subnet masku 255.255.0.0 a nech stroje za tymto interfejsom maju subnet mask 255.255.255.0 (cize adresy sieti budu 10.0.1.0 az 10.1.254.0 ak nepouzivame ip subnet zero)
Majme pocitac, ktory ma default gateway v tej master podsieti.

Co spravi pocitac, ked xce poslat packet na nejaku IP adresu... Najprv konzultuje svoju lokalnu ARP cache, ci uz nema MAC adresu pre tuto IP adresu. Ak nema a IP je v rovnakej sieti ako on, broadcastne ARP query, aby ju zistil. Od majitela IP adresy dostane odpoved s jeho MAC adresou a posle frejmy na nu.
Ak cielova IP adresa nie je v rovnakej podsieti, zdroj posle ARP request na rezoluciu MAC adresy k IP adrese gateway (pokial ju uz nema v ARP cache). Kedze je to broadcast, switch tieto frejmy prepina na vsetky rozhrania, cim sa urcite dostane na interface routra. Router teraz zoberie svoju ip adresu a svoju subnet masku, ANDuje ich a tak zisti svoju adresu siete (10.1.0.0). Zoberie teraz svoju subnet masku a IP adresu zdroja a tiez ich ANDuje, cim dostane IP adresu siete (10.1.0.0). Kedze adresy siete su rovnake, moze sa tymto broadcastom kludne zaoberat, a tak odpovie na ARP query svojou MAC adresou.

Takto teda ziska zdroj MAC adresu gateway.

Co vsak, ked zdroj chce poslat packet len na inu podsiet, ktora je v ramci siete za tymto interfejsom?

Opat posle ARP request, ten sa urcite dostane k routru. Kedze router funguje ako ARP Proxy a s velkou pravdepodobnostou uz IP adresu pozna, bez problemov odpovie.

Tot moj nazor. Tato vecicka ma celkom zaujala, zajtra to kuknem ako to fici, ak budem mat cas.
19.01.2005, 23:59
Rainbow

tomaash: Vobec nechapem, co hovoris, hlavne toto:

Citace:

Původně odeslal tomaash

Napriklad nech ma ten interface ip adresu 10.1.0.1 a subnet masku 255.255.0.0 a nech stroje za tymto interfejsom maju subnet mask 255.255.255.0 (cize adresy sieti budu 10.0.1.0 az 10.1.254.0 ak nepouzivame ip subnet zero)

Napis normalne priklad (IPcka+maska pre kazdy pocitac) - a ja ti poviem (alebo niekto iny), preco to je zle ;D
20.01.2005, 13:15
tomaash

Citace:

Původně odeslal Rainbow

Napis normalne priklad (IPcka+maska pre kazdy pocitac) - a ja ti poviem (alebo niekto iny), preco to je zle ;D

Spravil som tam chybu pri cislovani, ked som to pisal. Dajme tomu, ze tie IP adresy by boli takto:

Interface routra (default GW):
10.1.1.1/16

Pocitac v jednej podsieti:
10.1.2.1/24

V dalsej podsieti:
10.1.3.1/24

Cela moja "teoria" stoji na tom, ze ked 10.1.2.1/24 (vlastne akykolvek pocitac) vysle broadcast, tak gateway ho prijme aj napriek tomu, ze ma inu subnet mask.
20.01.2005, 14:06
Rainbow

Router ma broadcast adresu 10.1.255.255, takze broadcasty od neho neprijme nikto.
A btw. nezda sa ti router s jednym interfacom trochu divny?
20.01.2005, 14:40
Jezevec

jj nepojedou ti broadcasty od routeru. Pokud chces mit dva subnety na stejnym iface, tak se to resi tak, ze tomu iface pridelis vic IP adres.

Vetsi subnet se pouziva trocha jinak, pouziva se k agregaci rozsahu.

PR:

[router A] --- [router B]

Router B ma N ifaces s /24 subnetama, napr 192.168.1/24 - 192.168.7/24.
Takze router A by musel mit v routovaci tabulce 7 zaznamu, pro kazdej subnet jeden. Ale neni duvod, protoze on tam muze mit jen jeden zaznam pro 192.168.0/21.
20.01.2005, 17:06
tomaash

Ok, chapem, beriem a idem sa hanbit do kuta :idea: :oops:

Router len s jednym interfacom je samozrejme nezmysel :-)