форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Открытые системы на сервере (Маршрутизация, NAT)
Изначальное сообщение		[ Отслеживать ]

"разбор полетов, нужно мнение,доступ+маршрутизация"		+/–
Сообщение от avator (ok) on 19-Мрт-10, 12:27
Привет Всем! Помогите разобраться в ситуации: есть сетки(кусочек) 10.1.10.0/24 <-> 10.1.10.1 eth1(router) 10.1.1.4 (eth0) <-> 10.1.1.0/24 router - linux напичканый сетевухами, все сетки работают исправно!!! так вот в 10.1.10/24 воткнули HP сервак с ILO и был выдан адрес 10.1.10.205(делали это спецы из другой конторы, не первый раз!!!!),после чего заявили,что у них нет доступа на 443 порт(управление осуществляется через веб морду) из других сеток,только из 10.1.10.0 Так вот пинги из 10.1.1./24 проходили нормально, а вот все остальное никак(смотрел tcpdump в разных вариациях). это сканы сделаны из 10.1.1.0 сетки nmap -v -A 10.1.10.205 Starting Nmap 5.21 ( http://nmap.org ) at 2010-03-17 14:19 EET NSE: Loaded 36 scripts for scanning. Initiating Ping Scan at 14:19 Scanning 10.1.10.205 [4 ports] Completed Ping Scan at 14:19, 0.20s elapsed (1 total hosts) Initiating Parallel DNS resolution of 1 host. at 14:19 Completed Parallel DNS resolution of 1 host. at 14:19, 0.00s elapsed Initiating SYN Stealth Scan at 14:19 ....... Initiating Traceroute at 14:23 Completed Traceroute at 14:23, 0.01s elapsed NSE: Script scanning 10.1.10.205. NSE: Script Scanning completed. Nmap scan report for it-dept....... (10.1.10.205) Host is up (0.00096s latency). Not shown: 996 closed ports PORT      STATE    SERVICE VERSION 22/tcp    filtered ssh 80/tcp    filtered http 443/tcp   filtered https 17988/tcp filtered unknown Too many fingerprints match this host to give specific OS details Network Distance: 2 hops ......... после долгих требований предоставить настройки этого ILO был выслан принтскрин где маска установлена в 16 бит,соответственно спецы признали,что очепятались изменив на 24 все заработало,но в наш адрес посыпались обвинения в неправильной настройке маршрутизации и т.д. и т.п.!!!! на следующий день был проведен эксперимент(путем вкл завалявшегося сервачка): 1. 10.1.10.150/24 без указания шлюза 2. 10.1.10.150/16 с указанием шлюза ни одна из указаных схем не заработала(и не должна) остается вопрос почему у них с 16-битовой маской icmp пинги ходили, а все остальное не работало(изначально мы предполагали отсутствие шлюза) P.S. или там на ILO существует свой фаер, который по умолчанию пускает только из своей сетки, и нам ВРАЛИ о влиянии 16-битовой маски????
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "разбор полетов, нужно мнение,доступ+маршрутизация"		+/–
Сообщение от vvvua (ok) on 19-Мрт-10, 14:15
>1. 10.1.10.150/24 без указания шлюза >2. 10.1.10.150/16 с указанием шлюза если сетевуха 10.1.10.1/24, то в 1-м случае пинги будут ходить с роутера на серв и наоборот, во 2-м случае должно тоже работать в соединении роутер-серв, но не сдругих сетей. Будут работать те сети, который не входят в 10.1.0.0/16. Тут уже могут косячить правила файрвола и NAT'a. Во 2-м случае 10.1.1.0/24 входит в сеть 10.1.10.150/16 (вернее 10.1.0.0/16), поэтому ответ идет не потой записи маршрутизации. >ни одна из указаных схем не заработала(и не должна) >остается вопрос почему у них с 16-битовой маской icmp пинги ходили, а >все остальное не работало(изначально мы предполагали отсутствие шлюза) > >P.S. или там на ILO существует свой фаер, который по умолчанию пускает >только из своей сетки, и нам ВРАЛИ о влиянии 16-битовой маски???? >
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	2. "разбор полетов, нужно мнение,доступ+маршрутизация"		+/–
	Сообщение от avator (ok) on 19-Мрт-10, 22:29
	> >>1. 10.1.10.150/24 без указания шлюза >>2. 10.1.10.150/16 с указанием шлюза > >если сетевуха 10.1.10.1/24, то в 1-м случае пинги будут ходить с роутера >на серв и наоборот, >во 2-м случае должно тоже работать в соединении роутер-серв, но не сдругих >сетей. Будут работать те сети, который не входят в 10.1.0.0/16. Тут >уже могут косячить правила файрвола и NAT'a. отсутствуют как таковые: iptables -L Chain INPUT (policy ACCEPT) target     prot opt source               destination         Chain FORWARD (policy ACCEPT) target     prot opt source               destination         Chain OUTPUT (policy ACCEPT) target     prot opt source               destination   > >Во 2-м случае 10.1.1.0/24 входит в сеть 10.1.10.150/16 (вернее 10.1.0.0/16), поэтому ответ >идет не потой записи маршрутизации. > т.е. при установке на хосте 10.1.10.150/16 должно работать следующее: Ping 10.1.10.150 source 10.1.1.2 я правильно понял?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	3. "разбор полетов, нужно мнение,доступ+маршрутизация"		+/–
	Сообщение от vvvua (ok) on 20-Мрт-10, 01:28
	>т.е. при установке на хосте 10.1.10.150/16 должно работать следующее: >Ping 10.1.10.150 source 10.1.1.2 >я правильно понял? при чем тут 10.1.1.2? правильно адреса давай интерфейсам
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	4. "разбор полетов, нужно мнение,доступ+маршрутизация"		+/–
	Сообщение от avator (ok) on 20-Мрт-10, 09:26
	> >>т.е. при установке на хосте 10.1.10.150/16 должно работать следующее: >>Ping 10.1.10.150 source 10.1.1.2 >>я правильно понял? > >при чем тут 10.1.1.2? >правильно адреса давай интерфейсам речь шла о межсетевой маршрутизации т.е. сети 10.1.1/24 <-> 10.1.10/24 могут взаимодействовать между собой через некий шлюз, пусть будет cisco(если так проще). поэтому пнул от: source 10.1.1.2 какая разница??? куда зологинился оттуда и пнул сути не меняет. P.S. Ладно забейте, сам разберусь:-)
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема