několik questionů

[Darth Moula]

Přeji krásný nový rok a hned se ptám:

postavil jsem si se starého počítače router a nakonfiguroval jsem si na něm firewall a vyzkoušel, že funguje jak má na malé počítačové síti. Návaznost na klfree jsem nehohl vyzkoušet, protože nemám přiděleny potřebné IP adresy.

Předesílám, že mi poměrně dost dlouho trvalo, než jsem vymámil z lidí po celém světě, jak nakonfigurovat router, aby splňoval požadavek sdružení, že se nemají překládat adresy, ale povedlo se. Sice nad tím každý kroutil hlavou a naopak mi doporučoval překlad adres, ale to už se tu jednou řešilo a já tento požadavek sdružení hodlám respektovat a nemíním někomu komplikovat život speciálními požadavky.

Než se ale zeptám, chtěl bych se ujistit, že se shodneme v použité terminologii jak funguje router čili směrovač:

Obecné principy směrování:
A) Základní předpoklad (neplatí pro některé specifické případy): směrovač nesmí mít vždy na žádném ze svých rozhraní dvě (nebo více) stejných IP adres. Každé rozhraní musí být v jiném subnetu. Rozsahy subnetů se samozřejmě nesmí překrývat.

B) Pokud směrovač pouze přeposílá IP pakety na základě informací ze své směrové tabulky z jednoho svého rozhraní na jiné (pomiňme specifické "chytřejší" implementace a implementace jiných protokolů) a obsah paketu mění v nezbytně nutné míře, pak se tato činnost zove IP-routing, česky pak IP-směrování.

C) Překlad adres, nebo-li NAT předpokládá, že směrovač má na WAN rozhraní navázánu jednu nebo více vnějších IP adres, přičemž na LAN rozhraní(ch) jsou stanice, které mají být přes tyto vnější IP adresy z WANu dostupné, ač samy mají IP adresy zcela jiné (vnitřní, lokální). Směrovač pak zajistí, že IP paket mířící z LAN do WAN opustí směrovač nikoli s lokální IP adresou, alebrž s vnější IP adresou, která je této lokální IP adrese přiřazena (NAT 1:1). V opačném směru dochází k témuž ("veřejná" IP adresa je v paketu nahrazena IP adresou lokální). Toto se zove NAT 1:1 (Network Address Translation).

D) V případě, že směrovač funguje jako brána bez NAT 1:1, pak má na straně WAN rozhraní pouze jednu vnější IP adresu na které se hlásí pouze on sám a tudíž nelze z WAN oslovovat počítače v LAN(ech). V tomto případě v IP paketu mířícího z LAN do WAN nahradí odesílatele (původní lokální IP adresu) za svou IP adresu a lokální IP adresu odesílatele zapamatuje spolu s jeho požadavkem. Odpověď na tento IP paket pak projde podobnou procedurou: příjemce (IP adresa routeru) je nahrazen původním odesílatelem (ze zapamatovaných údajů) a je odeslán přes příslušné LAN rozhraní do LAN sítě, kde ho obdrží původní odesílatel, jako kdyby byl paket od "odpovídatele" poslán přímo jemu. Toto se zove PAT (Port Address Translation). Je logické, že PAT je podmnožinou NAT.

V Provozním řádu uveřejněném na www.klfree.net jsou tyto dva body, které se problematiky dotýkají:

Povinnosti uživatele:
7. Na síti je zakázáno použití tec
1000
hniky překladu adres (změna IP adres v hlavičce paketu při jeho průchodu sítí, tzv. NAT). Pokud potřebuje uživatel k síti připojit více zařízení, bude mu přidělen potřebný počet IP adres. 
8. Uživatel může používat prostředky pro filtrování síťového provozu (firewall). Těmito prostředky ale nesmí filtrovat IP pakety typu ICMP, např. musí zajistit, aby byla služba ping u všech zařízení dostupná z celé sítě. 

Pokud se budu držet toho, co jsem vyzvěděl o routování, pak vypadává ze hry NAT, NAT 1:1 a PAT a použít lze pouze body A) a B), aby bylo vyhověno bodu 7 řádu. Bod 8 se týká firewallu, takže k němu otázky nemám.

A nyní má nejdůležitější otázka: na koho se mám obrátit, aby mi přidělil IP adresy pro můj subnet na LAN rozhraní rozhraní? Požaduji subnet s maskou o šíři 28 bitů, tedy 255.255.255.240, který mi umožní připojit max. 13 stanic (což nehodlám v plné míře využívat, ale 5 je málo -> 8-subnet-broadcast-router=5 adres pro stanice, aby bylo úplně jasné, jak jsem k tomuto číslu došel). Tak nějak předpokládám, že zároveň zařídí doplnění routovacích tabulek na bronxu, ke kterému jsem připojen, aby městská síť o mém subnetu věděla.

A ještě na závěr: mám připravený poměrně podrobný článek na téma "postav si svůj vlastní router" a pokud jsem nebyl uveden v omyl či něco z problematiky špatně nepochopil, měl by být i věcně správný a zájemcům o tuto problematiku prospěšný. Rád bych proto někoho v této problematice zdatného, kdo by dokázal případné nesrovnalosti odhalit a eventuelně poradit, co tam ještě připsat.

Pokud jsi to dočetl až sem a nevíš která bije, pak se tím netrap, příspěvek není určen pro tebe ;-)

s úctou D.M.
------------- další část ---------------
HTML příloha byla odstraněna...
URL: http://sluzby.klfree.net/pipermail/kladno/attachments/20040105/cb19531e/attachment.html