ennesimo inutile tentativo di postare in lista.... questi i problemi quando il tuo isp di fa dono di un ip di una bl...
oggi cercando qua e la ho trovato un paio di link interessanti su come utilizzare il router come bridge.
il vantaggio e' che si libera un ip pubblico per una macchina interna alla LAN. lo svantaggio e' che non so se si possa fare nat con l'ip del router (direi di no) e non so esattamente quale possa essere la conf esatta del router, ma spulciando qua e la in rete qualcosa si trova. un vero peccato che non si possa accedere con altra dsl come mi era stato prospettato dal ghido.
ma la mia domanda e' questa.... quale risultato si vuole ottenere nella rete circolab? oltre a quello scontato di navigare e mantenere i servizi che gia' ci sono. e risolvere i problemi di routing.
mi potete mandare la conf attuale del router? ciao! ps spero di non aver postato l'ennesimo messaggio fantasma
-- Email.it, the professional e-mail, gratis per te: http://www.email.it/f
Sponsor: Navighi in cerca di sconti e offerte? Allora non perdere quest'occasione, clicca qui Clicca qui: http://adv.email.it/cgi-bin/foclick.cgi?mid=1814&d=2-2
On Mon, Feb 02, 2004 at 08:36:10PM +0100, bsd wrote:
ennesimo inutile tentativo di postare in lista.... questi i problemi quando il tuo isp di fa dono di un ip di una bl...
la situazione delle blacklist e' effettivamente complicata.. non so bene neanche io come agire. se li utilizzo, blocco anche la posta che arriva da libero e da tiscali. e c'e' tantissima gente che non puo' mandare la posta, in questo modo.
bah.
oggi cercando qua e la ho trovato un paio di link interessanti su come utilizzare il router come bridge.
il vantaggio e' che si libera un ip pubblico per una macchina interna alla LAN. lo svantaggio e' che non so se si possa fare nat con l'ip del router (direi di no) e non so esattamente quale possa essere la conf esatta del router, ma spulciando qua e la in rete qualcosa si trova.
un vero peccato che non si possa accedere con altra dsl come mi era stato prospettato dal ghido.
profe dice che entro poco si potra' fare... attendiamo che profe parli...
ma la mia domanda e' questa.... quale risultato si vuole ottenere nella rete circolab?
e' una bella domanda. fare funzionare la connettivita' innanzitutto. e quello gia' funziona.
poi permettere dall'interno di vedere i siti del circolab, ma questa cosa non influenzerebbe il router, in quanto noi abbiamo un firewall interno che sta tra il router e la rete interna che potrebbe agire attivamente x risolvere questo problema.
poi infine vorremmo utilizzare entrambi gli indirizzi ip (ne abbiamo 2, usiamoli!)
oltre a quello scontato di navigare e mantenere i servizi che gia' ci sono. e risolvere i problemi di routing.
mi potete mandare la conf attuale del router? ciao!
ti ho creato un account su laundry. la password te la mando in privato. ti basta fare minicom e dovresti gia' saltare nel router.
ti mando anche le password del router nella mail.
ps spero di non aver postato l'ennesimo messaggio fantasma
no, questo e' passato... :)))))
On Mon, Feb 02, 2004 at 08:36:10PM +0100, bsd riflettendo wrote
oggi cercando qua e la ho trovato un paio di link interessanti su come utilizzare il router come bridge.
anch'io ho il documento da qualche parte!
il vantaggio e' che si libera un ip pubblico per una macchina interna alla LAN. lo svantaggio e' che non so se si possa fare nat con l'ip del router (direi di no) e non so esattamente quale possa essere la conf esatta del router, ma spulciando qua e la in rete qualcosa si trova.
noi non vogliamo che il router natti qualcosa, chi natta per noi deve essere torretta (torretta=firewall)
un vero peccato che non si possa accedere con altra dsl come mi era stato prospettato dal ghido.
questo non e' propriamente vero, ci sono alcune possibilita' che sto valutando per avere comunque l'accesso dall'esterno da due vie
ma la mia domanda e' questa.... quale risultato si vuole ottenere nella rete circolab? oltre a quello scontato di navigare e mantenere i servizi che gia' ci sono. e risolvere i problemi di routing.
la risposta e' un po' articolata, premessa: la nuova (ormai e' quasi un anno che e' cosi'!!) connettivita' del circolab e' con ngi. questi ci hanno assegnato un pool di 4 ip. marcogh pensava di utilizzare tutti e due quelli buoni, uno fisso per i servizi e uno _libero_ da poterlo utilizzare all'occorrenza! profe ne vuole uno buono, associato direttamente al firewall senza farsi nattare dal router. i problemi nascono qui. la configurazione che abbiamo adottato fin'ora ci da dei problemi di risoluzione dei nomi dall'interno, si pensava di cambiare la conf del router per associare un ip pubblico direttamente a torretta ma per questo bisogna inserire una statica chiamata "ip unnumbered". per questa possibilita' il router che gestisce ngi, dal loro lato, deve essere abilitato. l'altra sarebbe quella di trasformare il router (nostro) in un modem e usare il pppoe o il pppoa (ngi supporta tutt'e due le possibilita'). questa seconda possibilita' pare essere la piu' carina da adottare, si deve implementare :P
non vorrei essere stato un po' lungo nella risposta :((
mi potete mandare la conf attuale del router?
domani mattina te ne mando una copia aggiornata
ciao! ps spero di non aver postato l'ennesimo messaggio fantasma
sembra che sia arrivata ;))
bella! profe
On Tue, Feb 03, 2004 at 01:12:59AM +0100, profe wrote:
la risposta e' un po' articolata, premessa: la nuova (ormai e' quasi un anno che e' cosi'!!) connettivita' del circolab
Oramai e' da un po' che ho rinunciato a seguire la logica della rete del circolab comunque per l'ultima volta ripeto che sarebbe bello che reti logiche diverse fossero anche reti fisiche diverse.
ciao
Pony
On Tue, Feb 03, 2004 at 09:33:56AM +0100, Pony wrote:
On Tue, Feb 03, 2004 at 01:12:59AM +0100, profe wrote:
la risposta e' un po' articolata, premessa: la nuova (ormai e' quasi un anno che e' cosi'!!) connettivita' del circolab
Oramai e' da un po' che ho rinunciato a seguire la logica della rete del circolab comunque per l'ultima volta ripeto che sarebbe bello che reti logiche diverse fossero anche reti fisiche diverse.
adesso e' cosi'. e lo rimarra' finche' riesco a trattenere profe dal rimescolare le reti...
:)
On Tue, Feb 03, 2004 at 09:30:13AM +0100, marcogh@linux.it riflettendo wrote
Oramai e' da un po' che ho rinunciato a seguire la logica della rete del circolab comunque per l'ultima volta ripeto che sarebbe bello che reti logiche diverse fossero anche reti fisiche diverse.
adesso e' cosi'!
adesso e' cosi'. e lo rimarra' finche' riesco a trattenere profe dal rimescolare le reti...
mi pare che le reti in verita' siano distinte in parte, e che non sia stata una nostra scelta fare le reti miste. adesso che telecom non c'e' piu' si e' risolta da sola la questione. ma la domanda che mi viene adesso e': ma il nuovo ip per la condivisione degli mptre dove lo mettiamo? un'altra scheda su torretta?
per favore non ditemi si!
:)
profe
On Tue, Feb 03, 2004 at 12:38:15PM +0100, profe wrote:
adesso e' cosi'. e lo rimarra' finche' riesco a trattenere profe dal rimescolare le reti...
mi pare che le reti in verita' siano distinte in parte, e che non sia stata una nostra scelta fare le reti miste. adesso che telecom non c'e' piu' si e' risolta da sola la questione. ma la domanda che mi viene adesso e': ma il nuovo ip per la condivisione degli mptre dove lo mettiamo? un'altra scheda su torretta?
ce ne sono gia' tre su torretta, e ne sono utilizzate solo 2 al momento. quindi perche' non connettere la terza alla radio? reti separate e nessun problema... :)
On Tue, Feb 03, 2004 at 01:24:22PM +0100, marcogh@linux.it wrote:
ma il nuovo ip per la condivisione degli mptre dove lo mettiamo? un'altra scheda su torretta?
ce ne sono gia' tre su torretta, e ne sono utilizzate solo 2 al momento. quindi perche' non connettere la terza alla radio? reti separate e nessun problema... :)
Si! Oramai normalmente sui firewall che uso ci sono tre schede di rete e mi piacerrebbe metterne una quarta ma non ho + slot pci.
ciao
Pony
On Tue, Feb 03, 2004 at 03:17:44PM +0100, Pony wrote:
On Tue, Feb 03, 2004 at 09:30:13AM +0100, marcogh@linux.it wrote:
adesso e' cosi'. e lo rimarra' finche' riesco a trattenere profe dal rimescolare le reti...
Non lo sapevo scusate. Quindi se recupero l'ultimo schema che hai mandato potrei capire la conf della rete?
si.
praticamente abbiamo il router che natta all'interno verso torretta e poi tutte le macchine sono nella stessa rete 10.0.0.X
ora la situazione e' tranquilla, spero.
On Tue, Feb 03, 2004 at 04:04:07PM +0100, marcogh@linux.it riflettendo wrote
praticamente abbiamo il router che natta all'interno verso torretta e poi tutte le macchine sono nella stessa rete 10.0.0.X
ora la situazione e' tranquilla, spero.
tranquilla tranne che per la navigazione interna sui siti che gestiamo!
ciao profe
On Tue, Feb 03, 2004 at 04:23:36PM +0100, profe wrote:
On Tue, Feb 03, 2004 at 04:04:07PM +0100, marcogh@linux.it riflettendo wrote
praticamente abbiamo il router che natta all'interno verso torretta e poi tutte le macchine sono nella stessa rete 10.0.0.X
ora la situazione e' tranquilla, spero.
tranquilla tranne che per la navigazione interna sui siti che gestiamo!
ribadisco: secondo me x risolvere quel problema si deve agire con il firewall (torretta) in modo da redirezionare il traffico diretto verso 194.185.91.166 verso il 10.0.0.253
'sta cosa sto tentando di dirtela da almeno un mese... perche' non mi ascolti??? :)))
ciao!
On Tue, Feb 03, 2004 at 04:29:36PM +0100, marcogh@linux.it riflettendo wrote
tranquilla tranne che per la navigazione interna sui siti che gestiamo!
ribadisco: secondo me x risolvere quel problema si deve agire con il firewall (torretta) in modo da redirezionare il traffico diretto verso 194.185.91.166 verso il 10.0.0.253 'sta cosa sto tentando di dirtela da almeno un mese... perche' non mi ascolti??? :)))
perche' invece di dirmelo non fai un giro su torretta e dai il comando iptables -L -t nat e vedi che regole ci sono? quando vedi che e' gia' cosi' ne riparliamo!
ciao profe
ciao profe! stai ancora giocando con le costruzioni??? ...smettila e quando hai un po' di tempo postami la configurazione del router che la do in pasto a uno che con i cisco ci ha lavorato un po' ...magari risolve per sempre il problema! ci vediamo in ogni caso stasera al circolab se ci sei
ciao!! bio
On Wed, Feb 04, 2004 at 05:27:20PM +0100, fabio deambrogio riflettendo wrote
ciao profe! stai ancora giocando con le costruzioni???
ogni tanto smetto, per giocare anche con altre cose! ma poche volte succede, mi piace perrdermi via con i giochi :P
...smettila e quando hai un po' di tempo postami la configurazione del router che la do in pasto a uno che con i cisco ci ha lavorato un po' ...magari risolve per sempre il problema!
mi sono proprio dimenticato di postarti la configurazione del router :(( mi rifaccio domani mattina :)
ci vediamo in ogni caso stasera al circolab se ci sei
non so! ma se tu ci sei pui dare direttamente un occhio alla conf del router!
ciao!!
ciao
bio
ciao profe
On Tue, Feb 03, 2004 at 04:46:54PM +0100, profe wrote:
perche' invece di dirmelo non fai un giro su torretta e dai il comando iptables -L -t nat e vedi che regole ci sono? quando vedi che e' gia' cosi' ne riparliamo!
Non ho la pass di root o meglio non la ricordo pero' la regola dovrebbe essere qualcosa di simile (la uso in un aula)
iptables -t nat -A POSTROUTING -p tcp -s 192.168.1.0/255.255.255.0 -d 192.168.1.9 --destination-port 443 -j SNAT --to-source 192.168.1.5
Nel mio caso la rete privata e' 192.168.1.0 l'indirizzo ip del firewall interno 192.168.1.5 il server https 192.168.1.9 .
Forse era gia' chiaro comunque ...
La regola me l'ha creata uno script generato da fwbuilder. Non sara' per uomini veri pero' ha il vantaggio che ti crea lo script che puoi guardarti con calma prima di lanciarlo.
ciao
Pony
On Wed, Feb 04, 2004 at 06:28:03PM +0100, Pony wrote:
On Tue, Feb 03, 2004 at 04:46:54PM +0100, profe wrote:
perche' invece di dirmelo non fai un giro su torretta e dai il comando iptables -L -t nat e vedi che regole ci sono? quando vedi che e' gia' cosi' ne riparliamo!
Non ho la pass di root o meglio non la ricordo pero' la regola dovrebbe essere qualcosa di simile (la uso in un aula)
iptables -t nat -A POSTROUTING -p tcp -s 192.168.1.0/255.255.255.0 -d 192.168.1.9 --destination-port 443 -j SNAT --to-source 192.168.1.5
Nel mio caso la rete privata e' 192.168.1.0 l'indirizzo ip del firewall interno 192.168.1.5 il server https 192.168.1.9 .
stasera lo provo...
La regola me l'ha creata uno script generato da fwbuilder. Non sara' per uomini veri pero' ha il vantaggio che ti crea lo script che puoi guardarti con calma prima di lanciarlo.
allora non lo useremo.. :)))
On Wed, Feb 04, 2004 at 06:28:03PM +0100, Pony wrote:
Non ho la pass di root o meglio non la ricordo pero' la regola dovrebbe essere qualcosa di simile (la uso in un aula)
iptables -t nat -A POSTROUTING -p tcp -s 192.168.1.0/255.255.255.0 -d 192.168.1.9 --destination-port 443 -j SNAT --to-source 192.168.1.5
Questa e' la spiegazione del manuale di fwbuilder:
This situation is described in iptables HOWTO http://www.netfilter.org/documentation/HOWTO//NAT- HOWTO.html This problem occurs when machines on internal LAN try to access a server (let's say a web server) which is actually located on the same LAN and NAT'ed through the firewall for external access. If internal users access it by its external NAT'ed address, then they send their TCP packets through the firewall, which translates them and sends them to the server on LAN. Server, however, replies back to the clients directly, because they are on the same network. Since the reply has server 's real address in the source, clients do not recognize it and connection can not be established. To resolve this problem you need to make NAT rule replace source address of the packet with address of firewall's internal interface. This should happen in addition to the translation of the destination address de- scribed in the previous chapters. If the source address of the packet that hits the server belongs to the firewall, the server replies to it; the firewall then translates again before sending the packet back to the client. Client sees the address it expects and connection gets established. Fortunately Firewall Builder supports this kind of a dual translation NAT rule. The rule #0 in Figure 10-13 does just that: it translates both source and destination address of the packet. Firewall's interface eth0 is internal and is connected to the same subnet the server web server belongs to. For any packet headed for any address of the firewall, TCP port 80, the rule #0 substitutes its source address with the address of interface eth0 and its destination address with the address of web server. The packet reaches the server because its destination address has been changed. This also makes the server reply back to the firewall, which in turn provides reverse translation before it sends these reply packets back to client hosts.
ciao
Pony
On Wed, Feb 04, 2004 at 06:28:03PM +0100, Pony riflettendo wrote
Non ho la pass di root o meglio non la ricordo pero' la regola dovrebbe essere qualcosa di simile (la uso in un aula)
la passwd di root e': lavitae'bella
:)
iptables -t nat -A POSTROUTING -p tcp -s 192.168.1.0/255.255.255.0 -d 192.168.1.9 --destination-port 443 -j SNAT --to-source 192.168.1.5
Nel mio caso la rete privata e' 192.168.1.0 l'indirizzo ip del firewall interno 192.168.1.5 il server https 192.168.1.9 .
chiara, ma la regola cosi' c'e' gia' :( che si fa!?
ciao profe
On Tue, Feb 03, 2004 at 01:12:59AM +0100, profe wrote:
On Mon, Feb 02, 2004 at 08:36:10PM +0100, bsd riflettendo wrote
noi non vogliamo che il router natti qualcosa, chi natta per noi deve essere torretta (torretta=firewall)
anche il router pero' potrebbe fare da nat: adesso lo fa ma c'e' il casino delle query dns sballate. se si riuscisse a risolvere quello la conf andrebbe bene anche cosi'...
la risposta e' un po' articolata, premessa: la nuova (ormai e' quasi un anno che e' cosi'!!) connettivita' del circolab e' con ngi. questi ci hanno assegnato un pool di 4 ip. marcogh pensava di utilizzare tutti e due quelli buoni, uno fisso per i servizi e uno _libero_ da poterlo utilizzare all'occorrenza! profe ne vuole uno buono, associato direttamente al firewall senza farsi nattare dal router. i problemi nascono qui. la configurazione che abbiamo adottato fin'ora ci da dei problemi di risoluzione dei nomi dall'interno, si pensava di cambiare la conf del router per associare un ip pubblico direttamente a torretta ma per questo bisogna inserire una statica chiamata "ip unnumbered". per questa possibilita' il router che gestisce ngi, dal loro lato, deve essere abilitato. l'altra sarebbe quella di trasformare il router (nostro) in un modem e usare il pppoe o il pppoa (ngi supporta tutt'e due le possibilita'). questa seconda possibilita' pare essere la piu' carina da adottare, si deve implementare :P
ma indipendentemente dal routing, c'e' da risolvere un altro problema: su torretta le query indirizzate a 194.185.blablabla non devono essere instradate su internet, ma bensi' redirette all'interno alla macchina giusta...
questo indipendentemente dalla configurazione del router.
On Mar, Feb 03, 2004 at 09:29:07am +0100, marcogh@linux.it wrote:
On Tue, Feb 03, 2004 at 01:12:59AM +0100, profe wrote:
On Mon, Feb 02, 2004 at 08:36:10PM +0100, bsd riflettendo wrote
noi non vogliamo che il router natti qualcosa, chi natta per noi deve essere torretta (torretta=firewall)
per togliere il nat dal router la soluzione piu' semplice e' quella di farlo lavorare da bridge. ma cosi' facendo il router si becca un ip gratis e non ha molto senso se non quello di dare a torretta un ip pubblico. trasformare il router in un modem non so se si possa ...ma credo sia piu' semplice andarsi a comprare un modem :P
da quel che ho capito le regole di bridge sono semplici
bridge group 1 su interfaccia atm e eternet bridge 1 protocol ieee ma bisogna fare qualche prova... avrei voluto postare la conf per intero ma da laundry non entro piu' nel router :-(
ciao a tutti!! bio
On Fri, Feb 06, 2004 at 08:38:09PM +0100, fabio deambrogio wrote:
per togliere il nat dal router la soluzione piu' semplice e' quella di farlo lavorare da bridge. ma cosi' facendo il router si becca un ip gratis e non ha molto senso se non quello di dare a torretta un ip pubblico. trasformare il router in un modem non so se si possa ...ma credo sia piu' semplice andarsi a comprare un modem :P
io ho un modem adsl, lo porto domenica sera. con quello possiamo fare altre prove..
da quel che ho capito le regole di bridge sono semplici
bridge group 1 su interfaccia atm e eternet bridge 1 protocol ieee ma bisogna fare qualche prova... avrei voluto postare la conf per intero ma da laundry non entro piu' nel router :-(
perche'? dovresti riuscire.. non e' che magari e' lockata la device perche' c'e' gia' qualcun'altro che sta giocando con il router?
ciao!
-
bsd -
cartolina -
fabio deambrogio
-
marco ghidinelli -
marcogh@linux.it
-
Pony -
profe