Karneval problem - uzivatele se navzajem nevidi

[Jezevec]

No to snad ne Prece je nebudou NATovat, kdyz vi ze ta verejna IP je na stejnym segmentu, ne? Aspon me by to nenapadlo a taky to u nas funguje bez problemu .

Ehm, z privatni na verejnou IP MUSIS jit pres NAT. Privatni IP se nesmi pri komunikaci na verejnou IP vubec objevit. Samo ze pokud ses dobytek, tak to muze fungovat, ale uvedom si, ze jedno z prvnich pravidel ktery napise znalej clovej do FW je zakaz komunikace z privatnich rozsahu. Proc ? Protoze za tim FW vetsinou nakej pouziva a pokud posles na ten router IP z privatniho rozsahu a nahodou se trefis, tak on to normalne odroutuje do vnitrni site, coz je samo pruser.

Napr to jak dobreho mas ISP muzes mimo jine testnou tak, ze posles do jeho site traceroute na privatni IP. Nemel by projit pres zadnej smerovac (samozrejme predpokladam ze sam mas verejnou IP).

[hwsoft]

Ehm, z privatni na verejnou IP MUSIS jit pres NAT. Privatni IP se nesmi pri komunikaci na verejnou IP vubec objevit. Samo ze pokud ses dobytek, tak to muze fungovat, ale uvedom si, ze jedno z prvnich pravidel ktery napise znalej clovej do FW je zakaz komunikace z privatnich rozsahu. Proc ? Protoze za tim FW vetsinou nakej pouziva a pokud posles na ten router IP z privatniho rozsahu a nahodou se trefis, tak on to normalne odroutuje do vnitrni site, coz je samo pruser.

Napr to jak dobreho mas ISP muzes mimo jine testnou tak, ze posles do jeho site traceroute na privatni IP. Nemel by projit pres zadnej smerovac (samozrejme predpokladam ze sam mas verejnou IP).

No prave ze nemusis, to co chci rict ja, je, ze pokud delas NAT 1:1 tak muzes pustit primo:

privatni IP <> hranicni router <> NAT1:1 <> Internet
je potom
privatni IP <> hranicni router <> privatni IP na segmentu
samozrejmne jenom v tom pripade, ze jsou zdroj i cil na jendnom segmentu privatnich IP

[Jezevec]

Podivej, mas privatni IP, ta je dle RFC neroutovatelna (do verejne site), pak mas GW a ta ma logicky taky privatni IP. A na ni proste musis udelat ten NAT. Jinak se ty dva kompy spolu muzou bavit, ale musel bys tomu s verejnou IP jeste rict, ze ma pristup i do privatni site.

Nemluvime o komunikaci dvou privatnich IP, ale privatni vs verejna. Privatni IP spolu na segmentu muzou komunikovat a zadnej router nepotrebujou.

[tominek]

kazdopadne ve ctvrtek sem jim poslal dotaz a stale se nikdo neozval s vysvetlenim. zacinam mmet pocit ze karneval se zase zacina chovat k zakakznikum jako v pocatcich

[hwsoft]

Podivej, mas privatni IP, ta je dle RFC neroutovatelna (do verejne site), pak mas GW a ta ma logicky taky privatni IP. A na ni proste musis udelat ten NAT. Jinak se ty dva kompy spolu muzou bavit, ale musel bys tomu s verejnou IP jeste rict, ze ma pristup i do privatni site.

Nemluvime o komunikaci dvou privatnich IP, ale privatni vs verejna. Privatni IP spolu na segmentu muzou komunikovat a zadnej router nepotrebujou.

Ano ale privatni a verejna je je na jednom "ethernetu" tak to ze se u karnevalu nevidi, neni problem verejna neverejna, ani zadnych RFC ale jen providera. Pokud tedy chapu ze ma jak verejnou, tak neverejnou.

[Jezevec]

Ne, chapes to uplne spatne. On ma jen verejnou IP (respektive pouziva jen verejnou IP). A pokud mas jen privatni IP, tak NEMUZES tu verejnou videt primo. Musel bys mit jeste taky verejnou ze stejnyho rozsahu.

Zkratka kdyz propojis dva kompy a kazdymu das IP z jinyho rozsahu, tak pro sebe logicky neexistujou, ac sou na stejnym kabelu. Kdyz jim pridas router, tak uz to fingovat muze (bez ohledu na privatni/verejny rozsahy), ale RFC odporuje to, aby spolu komunikoval komp s verejnou a privatni IP, chapes ?


Pr:
PC1 - 192.168.1.5/24, GW 192.168.1.1 => vidi kompy v rozsahu 192.168.1.x
PC2 - 195.217.36.20/24, GW 195.217.36.1 => vidi kompy v rozsahu 195.217.36.x

Jak zaridis aby se videli vzajmene ? Jedine tim, ze mas router, pro jednoduchost majici eth1 a eh2 s IP adresama odpovidajicim GW PC1 a 2 a mas povoleno routovani.

Jenze prave podle RFC tohle udelat nemuzes, protoze IP PC1 je privatni => nesmi pres router projit. Tudiz nastavis NAT. Jenze kdyz to udelas blbe (natujes na eth0, ktera ma X verejnych IP, ale nam staci klidne jedna), tak se proste ty kompy neuvidej.

Jelikoz router vi, ze ma z eth1 NATovat a z eth2 normalne routovat, jenze kdyz provede NAT, posle paket na eth0 (default) coz je blbe. Dalsi router totiz veme cilovou IP a paket vesele vrati zpet. No a ten se pak nejspis zahodi, protoze mi prece nemuze prijit "zvenku" paket, kterej sem odeslal ja sam.

=> musis tam mit pravidlo typu if cil = 195.217.36/24 then posli paket na eth2

[hwsoft]

Ne, chapes to uplne spatne. On ma jen verejnou IP (respektive pouziva jen verejnou IP). A pokud mas jen privatni IP, tak NEMUZES tu verejnou videt primo. Musel bys mit jeste taky verejnou ze stejnyho rozsahu.

No asi to nechapu, ale normalne delam verejnou tak, ze zNATuju privatni 1:1, cimz mas jak verejnou, tak privatni. Ale to je asi jak koukam jenom specialita FreeNetu, kvuli svobodne komunikaci mezi cleny. (ne ze by neslo i tak jak pise ze to ma Karneval)

[hwsoft]

Zkratka kdyz propojis dva kompy a kazdymu das IP z jinyho rozsahu, tak pro sebe logicky neexistujou, ac sou na stejnym kabelu. Kdyz jim pridas router, tak uz to fingovat muze (bez ohledu na privatni/verejny rozsahy), ale RFC odporuje to, aby spolu komunikoval komp s verejnou a privatni IP, chapes ?

Pr:
PC1 - 192.168.1.5/24, GW 192.168.1.1 => vidi kompy v rozsahu 192.168.1.x
PC2 - 195.217.36.20/24, GW 195.217.36.1 => vidi kompy v rozsahu 195.217.36.x

Jak zaridis aby se videli vzajmene ? Jedine tim, ze mas router, pro jednoduchost majici eth1 a eh2 s IP adresama odpovidajicim GW PC1 a 2 a mas povoleno routovani.

Jenze prave podle RFC tohle udelat nemuzes, protoze IP PC1 je privatni => nesmi pres router projit. Tudiz nastavis NAT. Jenze kdyz to udelas blbe (natujes na eth0, ktera ma X verejnych IP, ale nam staci klidne jedna), tak se proste ty kompy neuvidej.

Jelikoz router vi, ze ma z eth1 NATovat a z eth2 normalne routovat, jenze kdyz provede NAT, posle paket na eth0 (default) coz je blbe. Dalsi router totiz veme cilovou IP a paket vesele vrati zpet. No a ten se pak nejspis zahodi, protoze mi prece nemuze prijit "zvenku" paket, kterej sem odeslal ja sam.

=> musis tam mit pravidlo typu if cil = 195.217.36/24 then posli paket na eth2

Proc bys nemohl mit v siti jak privatni, tak verejny IP. Jediny omezeni je, ze ty neverejny neposles mimo svoji sit, jak mas svuj segment udelanej, tam te zadny RFC neomezuje.

(jinak to ze na sebe nevidi dva kompy kdyz maji ruzne nastaveny rozsah neni tak uplne pravda , staci mit v ARP tabulce zaznam a jedes, i kdyz nevim, jestli to plati ve vsech OS)