DSL-Router als Bridge?

03/06/2009 - 23:35 von Peter Wolter | Report spam
Hallo,
wir haben eine Standleitung in unserem Uni-Institut mit festen
IP-Adressen. Bisher haben alle PC auch eine feste IP und als Gateway die
IP des Routers. Wir sollen jetzt eine Bridge-Firewall installieren um
das Netzwerk (des Instituts) sozusagen vor dem Uni-Netz zu schützen. Da
sich keiner dazu in der Lage fühlt war meine Idee einen DSL-Router zu
kaufen. Kann ich so ein Geràt als Bridge benutzen?
Beispiel

212.x.x.1 (Router Uni Netz) 212.x.x.2 (Interface 1) (DSL-Router)
212.x.x.3 (Interface2) Instituts-Netz (Gateway 212.x.x.3)

Danke für alle Hilfe!
 

Lesen sie die antworten

#1 Juergen Ilse
04/06/2009 - 04:04 | Warnen spam
Hallo,

Peter Wolter wrote:
wir haben eine Standleitung in unserem Uni-Institut mit festen
IP-Adressen. Bisher haben alle PC auch eine feste IP und als Gateway die
IP des Routers. Wir sollen jetzt eine Bridge-Firewall installieren um
das Netzwerk (des Instituts) sozusagen vor dem Uni-Netz zu schützen. Da
sich keiner dazu in der Lage fühlt war meine Idee einen DSL-Router zu
kaufen. Kann ich so ein Geràt als Bridge benutzen?
Beispiel

212.x.x.1 (Router Uni Netz) 212.x.x.2 (Interface 1) (DSL-Router)
212.x.x.3 (Interface2) Instituts-Netz (Gateway 212.x.x.3)



Wie gross ist das Institutsnetz? Wenn du das erste /30 Subnetz des
Institutsnetzes freihalten kannst, musst du nicht bridgen. Du koenntest
einen Router mit Firewall Funktionalitaet einsetzen (das kann auch ein
Linux-Rechner sein), der zum "Router Uni-Netz" hin Proxy-ARP macht (damit
man an dem keine Konfigurationsaenderung durchfuehren muss).
Dann konfigurierst du auf deinem Router auf dem "externen Interface"
(Richtung "Uni-Router") die Adresse 212.x.x.2 mit Netzmaske 255.255.255.252
und auf dem "internen Interface" 212.x.x.5/24 (sofern das Institutsnetz
ein /24 Netz ist). Auf den Institutsrechnern stellst du dann die 212.x.x.5
als Gateway ein, und du hast eine Konfiguration, die ohgne bridging auskommt.
Das Routing zwischen den "ueberlappenden Netzen" (das Tranfernetz zwischen
deinem neu aufzusetzenden Router und dem Rest des Institutsnetzes ist ja
ein Subnetz des Institutsnetzes) funktioniert aufgrund CIDR (die "most
specific Route" hat Vorrang, so dass 212.x.x.0/30 auf das externe Interface
und der Rest des Netzes 212.x.x.0/24 auf das interne Interface geroutet).
Proxy-ARP auf dem "externen Interface" sorgt dafuer, dass der Router der
Uni die Subnettierung nur insofern sieht, als dass fuer den dann fuer alle
IP-Adressen des Institutsnetzes die selbe MAC-Adresse auf dem Ethernet
anzuliegen scheint. Ach ja, wenn du einen Linux-Rechner als Router und
Firewall aufsetzt, sollte in /proc/sys/net/ipv4/conf/all/rp_filter dann
*keine* 2 stehen, sonst funktioniert das nicht mehr (der "Filter gegen
gespoofte IP-Adressen" im Kern waere sonst "zu scharf" eingestellt und
wuerde auch legale Pakete verwerfen).

Tschuess,
Juergen Ilse ()
Ein Domainname (auch wenn er Teil einer Mailadresse ist) ist nur ein Name,
nicht mehr und nicht weniger ...

Ähnliche fragen