From: Savaş İREZ (savas@outlandscafe.com)
Date: Thu 01 Aug 2002 - 20:45:20 EEST
01 Aug 2002 14:51 EEST tarihinde yazmışsınız:
> Tam olarak istenenin ne oldugunu, soylerseniz size en verimli yolu gosterebiliriz. Ornegin siz yerel agdaki 10.0.0.0/8 adreslerine sahip aletlerin internetteki serverlere ulasmasini istiyorsaniz size bir tek IP adresi yeterli. Bunu 8 IP adresine dagitmaya calismanin hic bir faydasi olmayacagi gibi extra router/firewall yuku olusmasina yol acar. Ama macerayi seven birisi olabilirsiniz ve Linux Macera arayanlari cok sever. PREROUTING tablosunda paketleri isaretlersiniz. Kernel Router'den bunlarin hangi Interface'e cikacagini belirlersiniz. Internete ciktiginiz Interface'e diger IP'leri virtual Interface olarak bound edersiniz. POSTROUTING'te MASQ Ediverirsiniz bunlari is olur biter. Yukaridaki satirdan cok daha iyi calisir. Cunku SNAT Edilmis paketlerin hedeften donunce cozulmesi cok zorlasir. Hatta bazen paket yanlis kaynaga geri doner. Bu durumda paket kaybi yogunlasir. Siz bunu gecikme gibi algilarsiniz.
2000 makinalık bir network'te linux'u router/firewall olarak kullanmayı istemiştik. Ama istenen çıkışta birden fazla IP kullanılmasıydı. Ve Local'deki bir makina internete çıkacağında IP'si bir IP havuzundan seçilerek verilecekti. bahsettiğim Lucent Firewall'da her yeni bağlantıda farklı IP veriliyordu.
Lokal Makina1(IP:10.0.0.1) Uygulama 1 --> IP1(a.b.c.3)
Lokal Makina1(IP:10.0.0.1) Uygulama 2 --> IP2(a.b.c.20)
Hafızam beni yanıltmıyorsa her yeni bağlantıda IP değişiyordu. arka arkaya değişik ftp adreslerine bağlanıp kontrol etmiştik.
Normal şartlarda Masquerading'in daha mantıklı olduğunun farkındayım ve halı hazırda ben de masq kullanıyorum. Ama o zaman böyle bir şey istenmişti. Dinamik NAT'tan kastedilen buydu. An be an internette görünen IP değişiyor.
Ps:
linux-network'e az önce üye oldum. linux-guvenlik'e zaten üyeydim, isterseniz konuyu oraya taşıyıp konuşabiliriz.
> Yok, ben 2-3 tane serveri alip 10.0.0.0/8 bloguna koyacagim. Bunlara internetten ulasilsin diyorsaniz o zaman size DNAT lazim.
>
> Benzer sekilde bu Private IP'leri 8 Public IP'ye dagitmayi zorunlu kilan bir sey varsa bu seyin ve network yapisinin ne oldugunu soyleyin, bizde bir cozum arayisina gidelim.
--
Savaş İREZ
Bilgisayar Mühendisi
-----------------------------------------------------------------------
Liste üyeliğiniz ile ilgili her türlü işlem için
http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.
Listeden çıkmak için: 'linux-request@linux.org.tr' adresine,
"Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz.
-----------------------------------------------------------------------