Firewall , ip-adresser subnetting och dmz ?!|Nätverk / Internet|Forum|Nordichardware

Search
Forum Scope


Match



Forum Options



Minimum search word length is 3 characters - maximum search word length is 84 characters
Lost password?
The forums are currently locked and only available for read only access
sp_Feed sp_TopicIcon
Firewall , ip-adresser subnetting och dmz ?!
knarkad
It’s a first time for everybody
Medlem
Forum Posts: 5
Member Since:
November 14, 2006
sp_UserOfflineSmall Offline
1
February 9, 2007 - 11:47 pm
sp_Permalink sp_Print

Tja,

Det här blir snurrigare och snurrigare ju mer jag tänker på det. Känner att jag måste läsa på ordentligt om det grundläggande med subnetting osv ( embarassed ) men vore glad om någon kan peka mig i rätt riktning..

caset är som följer:

! En ny brandvägg med 2 wan-portar och 4 portar valbara lan/dmz.

! En ny pipa med publik ip-range.

? Hur konfar jag det..

Vi kan kalla rangen som jag blivit tilldelad 1.2.3.176/28 , som jag fattat det är det så här:
.176 är nät id och kan inte användas till något alls och .191 är broadcast. och 'värdelös' för mig. ok?

Min första riktiga ip är alltså .177 och sätts lämpligen som primär ip på wan-port nummer 1 (ska bara använda en pipa). Subnätmasken ska ju vara 255.255.255.240 när man har en 28-mask.

WAN1 blir då:
IP 1.2.3.177
mask 255.255.255.240
DG 1.2.3.176

LAN-sidan är ju solklar, bara att hugga en lämplig svart serie.

MEN.. om jag nu vill använda dmz-funktionen i brandväggen?

Jag har läst en del och kommit fram till att jag absolut ska ha publika adresser även på dmz:n. Men då måste jag ju dela upp mitt nät, och det enda jag kan göra är ju att dela det på mitten i två stycken /29 nät. Eller ?

Ska jag då sätta:

WAN-porten
IP 1.2.3.177
mask 255.255.255.248 (eller fortfarande 240?)
DG 1.2.3.176

DMZ-porten
IP 1.2.3.184
mask 255.255.255.248
DG ?? 1.2.3.184? , 1.2.3.177? , 1.2.3.176?

Och VART tog mina fem andra adresser vägen på WAN-sidan om jag nu vill köra all trafik genom brandväggen utan att ful-koppla dessa servrar direkt på wan-sidan i en switch ?? Jag kanske kan natta in dessa skarpa adresser på lanet men det känns ju bara sådär.

Snälla ! Hjälp mig att tänka. Jag brinner upp på det här..

edit: .176 är ju inte värdelös.... den är ju DG..

tiggre
Kommer du hit ofta?
Medlem
Forum Posts: 739
Member Since:
February 21, 2003
sp_UserOfflineSmall Offline
1117392
February 10, 2007 - 6:13 am
sp_Permalink sp_Print

1. du har strulat till dina ip's totalt (fel subnet / nätmaskar etc)...

2. du saknar en defaultrouter från din isp...

3. din isp måste splitta näten då han routar till dig, inget du själv gör...

gör det enkelt för dig istället

säg att du har nätet 195.168.168.0/28 (195.168.168.0-195.168.168.15)... då kan du splitta det på 2x30 och 1x29... (men mest logiskt här är ju 2x29)

Externt nät (195.168.168.0/29
195.168.168.1 - ISP's ROUTER
195.168.168.2 - WAN IP på din firewall
195.168.168.3-7 (möjlighet att ställa testdator/vpn hårdvara etc på dessa ip's)

DMZ (195.168.168.8/29)
195.168.168.9 - DMZ ip på din firewall
195.168.168.10-14 - DMZ SERVERS

Internt nät (192.168.1.0/24)
192.168.1.1 - LAN IP på firewall (din interna default gateway)

annars kan man väl natta? (nu är jag lite osäker dock)

Externt nät (195.168.168.0/28)
195.168.168.1 - ISP's ROUTER
195.168.168.2 - WAN IP på din firewall
195.168.168.3-14 (sköter din firewall om)

DMZ (192.168.0.0/24) (kör med privata ip's här)
192.168.0.1 - DMZ ip på din firewall
192.168.0.2-254 - DMZ SERVERS (du har dock bara 12ip att natta ner mot dem)

Internt nät (192.168.1.0/24)
192.168.1.1 - LAN IP på firewall (din interna default gateway

ändrade externa från 192-195 bara för att skilja dem mer, säkert missat editera om på nån...

(edit, har aldrig förstått mig på folk som ska ha internet ip på sina servers... nat funkar finfint... enklast att bygga sina nät så då du slipper meka på servers/ändra applikationer om du byter isp och inte äger dina egna ips)

P5E64 WS EVOLUTION | INTEL Q9650 CORE2QUAD@3000 | 8 GB | CLUB 3D 4870X2 | 2xSamsung SM 2493HM 24""@1900x1280 | Windows 7 Ultimate 64

knarkad
It’s a first time for everybody
Medlem
Forum Posts: 5
Member Since:
November 14, 2006
sp_UserOfflineSmall Offline
1117493
February 10, 2007 - 6:07 pm
sp_Permalink sp_Print

Tack för din input tiggre, uppskattar det.

tiggre wrote: 1. du har strulat till dina ip's totalt (fel subnet / nätmaskar etc)... )

Har du lust att förklara exakt vad det är som är tillstrulat ? Jag är säker på att du har rätt men vill gärna försöka förstå.

Mitt /28-nät är ju 16 hosts och bör då ha masken 255.255.255.240

tiggre wrote: 2. du saknar en defaultrouter från din isp...

Nej, inte alls. Antar att du med 'defaultrouter' syftar på default gateway ? Det är den som har adressen 1.2.3.176 , en kundplacerad router som har första adressen i mitt ip-span.

tiggre wrote: 3. din isp måste splitta näten då han routar till dig, inget du själv gör...

gör det enkelt för dig istället

säg att du har nätet 195.168.168.0/28 (195.168.168.0-195.168.168.15)... då kan du splitta det på 2x30 och 1x29... (men mest logiskt här är ju 2x29)

Externt nät (195.168.168.0/29
195.168.168.1 - ISP's ROUTER
195.168.168.2 - WAN IP på din firewall
195.168.168.3-7 (möjlighet att ställa testdator/vpn hårdvara etc på dessa ip's)

DMZ (195.168.168.8/29)
195.168.168.9 - DMZ ip på din firewall
195.168.168.10-14 - DMZ SERVERS

Okay! Måste använda mina egna 'slutsiffror' här för att se det..

1.2.3.176 /28 = hela mitt nät

Firewallens WAN1=
IP 1.2.3.177
MASK 255.255.255.248
DG 1.2.3.176

Firewallens DMZ=
IP 1.2.3.184
MASK 255.255.255.248
DG ? ska jag använda .184 här då?

tiggre wrote: (edit, har aldrig förstått mig på folk som ska ha internet ip på sina servers... nat funkar finfint... enklast att bygga sina nät så då du slipper meka på servers/ändra applikationer om du byter isp och inte äger dina egna ips)

Det finns flera anledningar till att jag vill ha vita adresser även på dmz:n. En är nat-t, eller snarare avsaknaden av det på en del utrustning. Likaså tappar jag diffserv flaggan när trafiken nattas.

Tar gärna emot mer synpunkter ! Tack

rsastin
Member
Medlem
Forum Posts: 4296
Member Since:
May 9, 2001
sp_UserOfflineSmall Offline
1117533
February 10, 2007 - 11:26 pm
sp_Permalink sp_Print

Urk. Det var ett bra tag sedan jag räknade ut subnät märker jag. Nu har jag i princip glömt bort hur man gjorde.
Men Subnetmask och IP hör i alla fall ihop. Man kan få en viss mängd IP-adresser i varje subnät, men hur många har jag glömt bort.
Har för mig att i varje nät kan man åtminståne ha 255 användare.
256 om man nu räknar med själva nätverket (typ 192.168.0.0).
Har för mig att nätverket alltid är 0

tiggre
Kommer du hit ofta?
Medlem
Forum Posts: 739
Member Since:
February 21, 2003
sp_UserOfflineSmall Offline
1117562
February 11, 2007 - 6:15 am
sp_Permalink sp_Print

oki, du står på dig 😉 (och jag var trött igår pga sjuka barn under natten)

(edit), såg just mitt problem från igår... hade räknat på 1.2.3.76)

om nu 1.2.3.176/28 är ditt nät så kan .176 omöjligen vara defaultgateway/defaultrouter...

1.2.3.176 = subnetmask (hur du än splittar)

då skulle splitten se ut såhär efter mitt förslag
1.2.3.176/29
1.2.3.184/29

Firewallens WAN1=
IP 1.2.3.178
MASK 255.255.255.248
DG 1.2.3.177 (din isp lär sätta sin router med ip .177 eller .182)

Firewallens DMZ=
IP 1.2.3.185
MASK 255.255.255.248
DG ? ska jag använda .184 här då? (nej, du ska inte ha nån DG på det här interfacet, dock ska de servers du har på DMZ ha .185 som DG)

P5E64 WS EVOLUTION | INTEL Q9650 CORE2QUAD@3000 | 8 GB | CLUB 3D 4870X2 | 2xSamsung SM 2493HM 24""@1900x1280 | Windows 7 Ultimate 64

tiggre
Kommer du hit ofta?
Medlem
Forum Posts: 739
Member Since:
February 21, 2003
sp_UserOfflineSmall Offline
1117563
February 11, 2007 - 6:28 am
sp_Permalink sp_Print

rsastin wrote: Urk. Det var ett bra tag sedan jag räknade ut subnät märker jag. Nu har jag i princip glömt bort hur man gjorde.
Men Subnetmask och IP hör i alla fall ihop. Man kan få en viss mängd IP-adresser i varje subnät, men hur många har jag glömt bort.
Har för mig att i varje nät kan man åtminståne ha 255 användare.
256 om man nu räknar med själva nätverket (typ 192.168.0.0).
Har för mig att nätverket alltid är 0

du pratar om en netmask, vi pratar om en subnetmask...

men visst har du rätt, ett Cnät "/24" har det du beskriver... (netmask)

ska vi krångla till det så kan man göra detta (supernetmask)

192.168.0.0/23
supernetmask 192.168.0.0
broadcast 192.168.1.255
= ett nät med 512ip (minus 2 "obrukbara")

P5E64 WS EVOLUTION | INTEL Q9650 CORE2QUAD@3000 | 8 GB | CLUB 3D 4870X2 | 2xSamsung SM 2493HM 24""@1900x1280 | Windows 7 Ultimate 64

tiggre
Kommer du hit ofta?
Medlem
Forum Posts: 739
Member Since:
February 21, 2003
sp_UserOfflineSmall Offline
1117564
February 11, 2007 - 7:00 am
sp_Permalink sp_Print

knarkad wrote: Likaså tappar jag diffserv flaggan när trafiken nattas.

ska du köra qos för torrents, spelserver eller ip telefoni?

😉

(edit)

återigen, du kan inte heller splitta näten utan att informera din isp om hur nätet ska se ut... de routar nätet /28... inte näten /29

P5E64 WS EVOLUTION | INTEL Q9650 CORE2QUAD@3000 | 8 GB | CLUB 3D 4870X2 | 2xSamsung SM 2493HM 24""@1900x1280 | Windows 7 Ultimate 64

knarkad
It’s a first time for everybody
Medlem
Forum Posts: 5
Member Since:
November 14, 2006
sp_UserOfflineSmall Offline
1117663
February 11, 2007 - 6:30 pm
sp_Permalink sp_Print

tiggre wrote: om nu 1.2.3.176/28 är ditt nät så kan .176 omöjligen vara defaultgateway/defaultrouter...

Helt rätt. Jag som var lite för snabb. .177 är routerns ip.

tiggre wrote: då skulle splitten se ut såhär efter mitt förslag
1.2.3.176/29
1.2.3.184/29

Fair enough ! Så skulle jag kunna tänka mig att ha näten. Då borde jag ju även kunna ställa en tex vpn-koncentrator direkt ute på .179 framför min ordinarie fw.

Men...

tiggre wrote: återigen, du kan inte heller splitta näten utan att informera din isp om hur nätet ska se ut... de routar nätet /28... inte näten /29

Fler idiotfrågor: Jag kan ju sannolikt inte sätta /28 på wan och /29 på dmz, då blir det ju kollission. Och sätter jag själv 2 * /29 så kommer alltså inte routingen att fungera till mitt dmz?

Jag kanske har gjort generalfelet nummer 1 genom att inte berätta exakt vilken utrustning jag har, eller så spelar det ingen roll. Min fw har ju även möjligheten att routa (om man vill) och bör ju då bli en del av nätet. Fungerar det då inte automatiskt med hjälp av rip ? eller är problemet att serierna överlappar varandra om jag är tvingad att sätta /29 på wan:et och vill ha /28 på dmz:n.

Jag känner mig så dum..

tiggre wrote: ska du köra qos för torrents, spelserver eller ip telefoni?

Ska primärt vara för voip. Det fungerar ju halvbra att få trafiken prioriterad på allt utom en mpls, men faktum är att flaggan finns kvar på det point to point test som jag gjort.

tiggre
Kommer du hit ofta?
Medlem
Forum Posts: 739
Member Since:
February 21, 2003
sp_UserOfflineSmall Offline
1117680
February 11, 2007 - 7:26 pm
sp_Permalink sp_Print

knarkad wrote: Jag kanske har gjort generalfelet nummer 1 genom att inte berätta exakt vilken utrustning jag har, eller så spelar det ingen roll. Min fw har ju även möjligheten att routa (om man vill) och bör ju då bli en del av nätet. Fungerar det då inte automatiskt med hjälp av rip ? eller är problemet att serierna överlappar varandra om jag är tvingad att sätta /29 på wan:et och vill ha /28 på dmz:n.

Jag känner mig så dum..

nät är inte alltid enkelt (lite inte på allt jag skriver då jag inte jobbar med detta primärt, har en del erfarenhet dock)

generalfel 1 skulle mer vara att du förlitar dig på ett internetforum för en komplicerad uppsättning 😉

har ganska bra koll på vart du vill komma, vad du sen ska koppla på är mindre intressant (qos delen är dock bra att veta)

gör du 2 st /29 nät så finns inte /28 nätet längre...

knappast så att din isp kör rip va?

mvh Johan

P5E64 WS EVOLUTION | INTEL Q9650 CORE2QUAD@3000 | 8 GB | CLUB 3D 4870X2 | 2xSamsung SM 2493HM 24""@1900x1280 | Windows 7 Ultimate 64

Forum Timezone: Europe/Stockholm
Most Users Ever Online: 1030
Currently Online:
Guest(s) 353
Currently Browsing this Page:
1 Guest(s)
Top Posters:
Andreas Galistel: 16287
Jonas Klar: 15897
ilg@dd: 10810
Nyhet: 10607
Mind: 10550
Ctrl: 10355
Gueno: 9881
Guest: 9344
Snorch: 8881
Callister: 8468
Newest Members:
PetrbonFU PetrbonFU
Karine Bembry
Dolores Mcdaniels
Anibal McLeish
Francisca Alt
Alfie Everhart
Lester Huitt
Orlando Jorgensen
Mikki Lundgren
Dakota Kozlowski
Forum Stats:
Groups: 11
Forums: 59
Topics: 146630
Posts: 1300967

 

Member Stats:
Guest Posters: 2
Members: 79425
Moderators: 0
Admins: 11
Administrators: nordicadmin, Henrik Berntsson, Anton Karmehed, Carl Holmberg, Joel Oscarsson, Mikael Linnér, Mikael Schwartz, Andreas Paulsson, Nickebjrk, Mattias Pettersson, EmxL