From: Serdar KOYLU (serdar@uludag.org.tr)
Date: Fri 07 May 2004 - 09:28:13 EEST
Selamlar..
Server denen makineyi, 10.* tarafina koyup, onun adresi 212.* yeni bir
adres olarak verilir. Sonra da Linux uzerinden routing tablosu
ayarlanir.
# route add -host 212.1.1.1/32 eth1
Bu sekilde, Linux bu makineye gelen istekleri dogrudan o makineye
yollar. Elbette firewall olarak bir takim faaliyetlerde bulunmaya devam
edecektir. Asil sorun, o server makinede yasanir. Onun IP'si 212.x.x.x
olacak ama o bu netmask'a sahip bir agda bulunmayacak. Bu durumda onun
routing tablosuna da 10.x.y.z seklinde firewall'in IP'si eklenmeli ve
default gw olarak gosterilmeli.
Bir diger cozum, kotu ve pis bir cozum olabilir ama gene de cozumdur,
araya bir tunel kurmak olabilir.
Gorulecegi uzere, NAT bir hayli iyi bir cozum. Direct routing ile de bu
halledilebiliyor. Hatta Tunel'de kurulabiliyor. Dilerseniz baska bir
suru cozum daha bulabiliriz. Ama en guzeli NAT cozumu gibi gorunuyor..
Demokrasilerde careler tukenmez, Linux'ta yeterince demokratik bir
ortamdir ve luzumsuz bir takim zevzek isletim sistemleri gibi sorun
uretmek icin degil, sorun cozmek icin mevcuttur..
Saygi ve sevgiler..
> soyle yapabilirsin. nat yapan makinaya bi tane daha 212 gurupdan IP ver ve iptables ile o gercek IP ye gelen istekleri icerideki makinaya yonlendir.
>
>
>
> 06 May 2004 16:36 EEST tarihinde yazmışsınız:
>
> > Yok soyle anlatayim.
> > Router yapan makine 2 ethernet var
> > 1. 212.20.10.10 diyelim
> > 2. 10.0.0.1 diyelim
> > Simdi ben 2. ethernettin bagli oldugu switchte bir makineye gercek ip vermek
> > istiyorum. Ama yapmak istedigim o makinenin ip ayarlarina giricem senin ip
> > adresin 212.20.10.11 diycem. Yani dnat degil yapmak istedigim direk gercek
> > ipyi makineye vermek istiyorum.
> > Boyle birseyi nasil yapabilirim?
> >
> > Veya asil yapmak istedigimi soyle anlatayim daha aciklayici olur. Simdi
> > networkte 2 tip makine var.
> > 1. serverlar
> > 2. clientlar
> >
> > Clientlar 10 lu bloktan ip alsin dhcp uzerinden. Serverlarda ise gercek ip
> > olmasi gerekiyor (yonlendirme degil). Bunu nat yapan makine uzerinden
> > saglayabilirmiyim. Serverlarda clientlarda ayni switch'e bagli. Söküp ayri
> > bi swicth ile 212 li bloga dahil edemiyorum.
> >
> > Tesekkurler
> >
> > -----Original Message-----
> > From: linux-network-bounce@liste.linux.org.tr
> > [mailto:linux-network-bounce@liste.linux.org.tr] On Behalf Of Serdar KOYLU
> > Sent: Thursday, May 06, 2004 4:22 PM
> > To: linux-network@liste.linux.org.tr
> > Subject: [linux-network] Re: NAT yapan makine ve gercek ip
> >
> > Selamlar..
> >
> > Pek anladigimi soyleyemem. Fakat, eger disaridan gelen butun isteklerin
> > bu icerdeki makineye ulasmasini istiyorsaniz, bu biraz mumkun.
> >
> > cookbook tarifi olarak,
> >
> > # iptables -t nat -A PREROUTING -p tcp --syn -i $dis_ethernet -d $dis_ip
> > -j DNAT --to $icerdeki_makine_ip
> >
> > Gibi bir cozum uygulayabilirsiniz. Bu TCP paketlerinden, bu makineye
> > gelen yeni baglantilari icerideki makineye yonlendirir. Elbette,
> > conntrack vs. islerinide guzelce halletmeniz gerekir. ipt_conntrack ile,
> > state = NEW olan paketleri yonlendirmekte cozum olabilir. Tutmazsa,
> > kernel kodu patch etmek icin yeterince cazibeye sahiptir. Kisacasi bu is
> > muhakkak yapilir, neden olmasin?
> >
> > Ama bunun iyi yolu, disaridan gelen belirli istekleri (http, ftp, mail
> > vs.) icerideki cihaza yollamaktir.
> >
> > Saygi ve sevgiler..
> >
> > > Selamlar
> > > NAT yapan bir makine var. Uzerinde 2 ethernet var. 1. local, 2. dis
> > network.
> > > Simdi ben iceride bir makineye gercek ip vermek istiyorum. Ancak istegim
> > > soyle icerdeki bu makinede ip olarak direk bu gercek ip yazacak. Yani
> > harici
> > > bir ipyi iceri forward etmek degilde, direk makinede ip olarak dis ipyi
> > > yazmak istiyorum. Bunun ypailabilitesi varmidir?
> > >
> > > İptables ile disaridaki bir ipyi icerdeki bir ipye yonlendirmeyi ve
> > > icerdekininde cikarken o ipyi kullanmasini saglayabiliyorum ama yapmak
> > > istedigim bu degil. Umarim aciklayabilmisimdir
> >
> >
> >
> >
> > -- Binary/unsupported file stripped by Ecartis --
> > -- Type: application/x-pkcs7-signature
> > -- File: smime.p7s
> >
> >
> >
>
>