Hi Folks,
ich hab' ein kleines Problem, brige zu verstehen. Besonders die EInrichtung von Netzen / Subnetzen will mir nicht so ganz in den Kopf...
Hintergrund ist eine Maschine mit virtuellen Servern. Kann mir jemand helfen zu verstehen, welche IP's / netmask / gateways ich für folgendes Szenario definieren muss:
Ein VServer ist meine Firewall. Dafür möchte ich eine SChnittstelle zum Internet haben (fix IP), eine in das Netz "DMZ" und eine in das Netz "LAN"
Auf meinem Host sollen die Verbindungen über Dummy Interfaces und Bridges realisiert werden.
Ich hab' drei bridges kreiert: DMZ, LAN und INET
Frage 1: brauche ich auf meinem Host für jede Bridge ein eigenes Interface?
Frage 2: welche IP Adressen bekommen die if auf dem Host und in der entsprechenden Zone?
Kennst sich da jemand aus?
bridge setup
-
finupsen
- Beiträge: 1327
- Registriert: 21.04.2004 20:07:05
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Dortmund
-
Kontaktdaten:
Re: bridge setup
nein, jede bridge ist ein interface (virtuelles) und jede bridge kann belibig(?) vielebongout hat geschrieben: iFrage 1: brauche ich auf meinem Host für jede Bridge ein eigenes Interface?
interfaces zusammenfassen (br0 -> eth0 , eth1, ethX)
bongout hat geschrieben: Frage 2: welche IP Adressen bekommen die if auf dem Host und in der entsprechenden Zone?
Jede bridge sollte eine eigene netzwerk-adresse haben. Musst dann natürlich noch die
routingtabelle anpassen.
Die Netzwerkkarten laufen im promiscuous-mode (bzw. adresse 0.0.0.0)
... nicht wirklich, mehr so hobby-mässigbongout hat geschrieben: Kennst sich da jemand aus?
Niemand hat vor eine zentrale Datensammelbehörde aufzubauen. Es handelt sich vielmehr um dezentrale IT-Systeme die miteinander vernetzt werden.
... und Wasser ist naß.
... und Wasser ist naß.
Hey Finupsen,
super... das bringt mich (glaub ich) ein Stück weiter....
Wenn ich jetzt allerdings das Stichwort "dummy" hier noch fallen lasse... hilft das?
Wobei - eitnlich stellt sich eher noch die Frage: wie bekommt meine bridge ihre IP und welche?
Angenommen ich hab sechs virtuelle Maschinen mit
192.168.1.1
192.168.1.2
192.168.2.1
192.168.2.2
192.168.3.1
192.168.3.2
brauch ich dann für die bridges
192.168.1.0
192.168.2.0
192.168.3.0
oder was? - Kann eineglich nicht sein.... oder?
super... das bringt mich (glaub ich) ein Stück weiter....
Wenn ich jetzt allerdings das Stichwort "dummy" hier noch fallen lasse... hilft das?
Wobei - eitnlich stellt sich eher noch die Frage: wie bekommt meine bridge ihre IP und welche?
Angenommen ich hab sechs virtuelle Maschinen mit
192.168.1.1
192.168.1.2
192.168.2.1
192.168.2.2
192.168.3.1
192.168.3.2
brauch ich dann für die bridges
192.168.1.0
192.168.2.0
192.168.3.0
oder was? - Kann eineglich nicht sein.... oder?
-
meandtheshell
- Beiträge: 4054
- Registriert: 14.01.2005 17:51:30
@bongout
hier steht wie du devices mit zugehöriger IP konfigurierst
http://linux-net.osdl.org/index.php/Bridge
siehe auch externe links
http://openvpn.net/bridge.html
Einfacher wäre ich denke diese Topologie
[1] ein PC mit Iptables kann den Paketfilter und den Router machen
d.h. der Datenfluß
internet <--> LAN
internet <--> DMZ
LAN <--> DMZ
läuft über den Router/Firewall und kann so gut gefiltert werden.
Der Vorteil liegt darin das um das gleiche mit der bridge zu machen du viel mehr Aufwand hast da du ja doch irgendwo den Paketfilter haben musst.
markus
hier steht wie du devices mit zugehöriger IP konfigurierst
http://linux-net.osdl.org/index.php/Bridge
siehe auch externe links
http://openvpn.net/bridge.html
Einfacher wäre ich denke diese Topologie
Code: Alles auswählen
internet <--> Router+Firewall [1] <--> Hardware Switch ---------\
| |
| |
LAN DMZd.h. der Datenfluß
internet <--> LAN
internet <--> DMZ
LAN <--> DMZ
läuft über den Router/Firewall und kann so gut gefiltert werden.
Der Vorteil liegt darin das um das gleiche mit der bridge zu machen du viel mehr Aufwand hast da du ja doch irgendwo den Paketfilter haben musst.
markus
Zuletzt geändert von meandtheshell am 16.01.2006 16:05:27, insgesamt 1-mal geändert.
Hi meandtheshell,
die beiden Doc's kenn ich - aber verstehen ist dann immer noch ne andere Sache
Sorry - aber es fällt mir ziemlich schwer, oder ich steh einfach auf'm Schlauch.
Wobei - vielleicht hab ich es gerade eben verstanden.
EIne bridge ist wie ein virtueller switch. D.h. wie ein switch Buchsen für's Kabel hat, braucht meine Bridge Interfaces. Will ich also auf dem Host meiner VServer drei VServer an eine Bridge hängen, muss ich auf dem Hostsystem drei Dummy Interfaces erstellen, mit je einer eigenen IP versehen und dann meinem VServer sagen, an welche dieser Interfaces er connecten soll....
Kann man das so sagen?
die beiden Doc's kenn ich - aber verstehen ist dann immer noch ne andere Sache
Sorry - aber es fällt mir ziemlich schwer, oder ich steh einfach auf'm Schlauch.
Wobei - vielleicht hab ich es gerade eben verstanden.
EIne bridge ist wie ein virtueller switch. D.h. wie ein switch Buchsen für's Kabel hat, braucht meine Bridge Interfaces. Will ich also auf dem Host meiner VServer drei VServer an eine Bridge hängen, muss ich auf dem Hostsystem drei Dummy Interfaces erstellen, mit je einer eigenen IP versehen und dann meinem VServer sagen, an welche dieser Interfaces er connecten soll....
Kann man das so sagen?
-
meandtheshell
- Beiträge: 4054
- Registriert: 14.01.2005 17:51:30
ja - ich kann dir aber aus erfahrung sagen wenn das alles auf einer maschine ist, dann ist es nur eine Frage der Zeit bis das so unübersichtlich wird das dir das grausen kommt.bongout hat geschrieben:
EIne bridge ist wie ein virtueller switch. D.h. wie ein switch Buchsen für's Kabel hat, braucht meine Bridge Interfaces. Will ich also auf dem Host meiner VServer drei VServer an eine Bridge hängen, muss ich auf dem Hostsystem drei Dummy Interfaces erstellen, mit je einer eigenen IP versehen und dann meinem VServer sagen, an welche dieser Interfaces er connecten soll....
Kann man das so sagen?
markus
Hi Markus,
naja - hat ja auch keiner gesagt, dass das einfach ist
Aber wenn ich also richtig liege, wie das mit briges so ist, ists ja gar nicht so schwer wie ich gedacht hab
wobei, wer, wie, wo, welche IP bekommt ist dann immer noch nicht ganz klar - aber das werd ich schin irgendwo finden.
Und zum Thema Übersichtlich:
Wenn ich einen VServer starte muss ich eben "einfach" ein kleines Script dazu basteln, dass mir ein weitere dummy Interface hochzieht, dieses einer bestimmten Bridge zuornet und dann den VServer an diese Bridge hängt.... und natürlich vice versa wenn der VServer wieder runterfährt. Easy, oder?
naja - hat ja auch keiner gesagt, dass das einfach ist
Aber wenn ich also richtig liege, wie das mit briges so ist, ists ja gar nicht so schwer wie ich gedacht hab
wobei, wer, wie, wo, welche IP bekommt ist dann immer noch nicht ganz klar - aber das werd ich schin irgendwo finden.
Und zum Thema Übersichtlich:
Wenn ich einen VServer starte muss ich eben "einfach" ein kleines Script dazu basteln, dass mir ein weitere dummy Interface hochzieht, dieses einer bestimmten Bridge zuornet und dann den VServer an diese Bridge hängt.... und natürlich vice versa wenn der VServer wieder runterfährt. Easy, oder?