У нас есть 5 статических IP-адресов от нашего интернет-провайдера:
XXX.XXX.XXX.180
XXX.XXX.XXX.181
XXX.XXX.XXX.182
XXX.XXX.XXX.183
XXX.XXX.XXX.184
В нашем брандмауэре сетевая карта, подключенная к нашему кабельному модему, кажется, имеет все 5 IP-адресов. Это настраивал один из предыдущих айтишников, и я не совсем уверен, что он сделал. Эти виртуальные интерфейсы на этой сетевой карте или как? Вот мой ip addr вывод для этой сетевой карты:
rwd0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether XX:XX:XX:XX:XX:XX brd ff:ff:ff:ff:ff:ff
inet XXX.XXX.XXX.180/24 brd XXX.XXX.XXX.186 scope global rwd0
inet XXX.XXX.XXX.181/29 brd XXX.XXX.XXX.186 scope global rwd0:FWB9
inet XXX.XXX.XXX.182/29 brd XXX.XXX.XXX.186 scope global secondary rwd0:FWB10
inet XXX.XXX.XXX.183/29 brd XXX.XXX.XXX.186 scope global secondary rwd0:FWB11
inet XXX.XXX.XXX.184/29 brd XXX.XXX.XXX.186 scope global secondary rwd0:FWB12
inet6 fe80::250:8bff:fe61:5734/64 scope link
valid_lft forever preferred_lft forever
Я немного новичок в брандмауэрах и сетях, поэтому я просто пытаюсь понять, что он здесь творит. Я знаю, что он использовал Firewall Builder для настройки правил iptables, возможно, это как-то связано с "FWB", которое я вижу в этих именах?
Итак, мои вопросы:
Что здесь происходит? Виртуальные интерфейсы? Или что-то другое?
Если мы хотим установить второй брандмауэр параллельно с этим брандмауэром, но мы хотим, чтобы он обрабатывал только трафик для XXX.XXX.XXX.182, как избавиться от статического электричества XXX.XXX.XXX.182 адрес на этом существующем ящике брандмауэра?
Брандмауэр работает на Fedora 11 (да, я знаю, не лучший выбор, поэтому я ищу замену брандмауэра, а также пример причины, по которой предыдущий ИТ-специалист здесь больше не работает).
наверное, не лучший ответ, но общий - вы всегда можете сделать:
cd /etc
grep -R XXX\.XXX\.XXX\.182 .
это даст вам представление о том, в каком файле в / etc [где обычно - в нормальных настройках - такая информация живет] отображается этот IP-адрес - это будет хорошее место для начала ваших исследований.
В Fedora есть собственная сетевая конфигурация в / etc / sysconfig / network-scripts. Файлы с IP-конфигурацией называются ifcfg-'name_of_interface ', для вашей настройки возможно ifcfg-rwd0, ifcfg-rwd0: FWB9 и т. Д.
Если вы хотите иметь другой роутер parallel к этому, удаление ifcfg-rwd0: x должно быть достаточно. И вам, конечно же, нужно добавить эти IP на второй роутер / прошивку.
Да, это виртуальные интерфейсы, обычная схема именования - ethX: Y. X - основной интерфейс, а Y - идентификатор подинтерфейса. Обычно вы видите eth0: 0, eth0: 1 и т. Д.
В этом случае похоже, что ваш основной интерфейс называется rwd0, а rwd0: FWB [9-12] - подынтерфейсы.
Ваше предположение о том, что они были установлены конструктором брандмауэра, очень разумно.
Что касается причин, по которым это было сделано, вам необходимо установить псевдонимы всех ваших общедоступных IP-адресов на брандмауэре, на котором вы хотите предлагать услуги для машин, находящихся за брандмауэром. Допустим, у вас есть 2 веб-сервера, и вы хотите разместить их оба на стандартном 80. Если бы у вас был только один IP-адрес, скажем, ваш .180, вы не смогли бы этого сделать, вы бы могли отправить порт 80 только на одну машину за брандмауэром. С несколькими адресами вы можете сказать, что трафик, нацеленный на .180: 80, идет на веб-сервер1, а .181: 80 - на веб-сервер2.
Я лично не имел дело с Fedora или Firewall Builder, поэтому я не могу сказать вам конкретное местоположение файла для редактирования, но некоторые обычные подозрения: / etc / sysconfig /etc/conf.d / etc / network
В принципе, посмотрите вокруг и т.д., и вы найдете это.
Похоже, это вторичные IP-адреса:
[kbrandt@kbrandt: ~/scrap/] sudo ifconfig eth0:0 192.168.12.12 netmask 255.255.255.0
[kbrandt@kbrandt: ~/scrap/] ip addr show eth0
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 100
link/ether 00:19:d1:03:39:a5 brd ff:ff:ff:ff:ff:ff
inet 192.168.254.15/24 brd 192.168.254.255 scope global eth0
inet 192.168.12.12/24 brd 192.168.12.255 scope global eth0:0
inet6 fe80::219:d1ff:fe03:39a5/64 scope link
valid_lft forever preferred_lft forever
Однако я не могу сказать, почему предыдущий администратор назначил их самому брандмауэру, я также не знаю, что такое rwd-устройство, я боюсь.
Чтобы удалить это было бы примерно так:
sudo ip addr del 192.168.12.12 dev eth0
В моем случае, но, как я уже сказал, я не узнаю устройство rwd, поэтому действуйте осторожно.
Редактировать:
О, беспроводной интерфейс RaLink - rwd? в этом случае просто замените мой eth0 пример с rwd0.
Изменить 2:
Это на самом деле просто, чтобы показать Маньяку, о чем я говорю:
Машина 1:
$ sudo iptables -t nat -L -b
Chain PREROUTING (policy ACCEPT 14 packets, 1431 bytes)
pkts bytes target prot opt in out source destination
554 46536 DNAT all -- any any anywhere 12.12.12.12 to:192.168.1.15
Chain POSTROUTING (policy ACCEPT 823 packets, 72596 bytes)
pkts bytes target prot opt in out source destination
3 600 SNAT all -- any any 192.168.1.15 anywhere to:12.12.12.12
Chain OUTPUT (policy ACCEPT 823 packets, 72944 bytes)
pkts bytes target prot opt in out source destination
$ifconfig
eth0 Link encap:Ethernet HWaddr 00:21:9b:1d:4c:7d
inet addr:192.168.1.154 Bcast:192.168.1.255 Mask:255.255.255.0
eth0:0 Link encap:Ethernet HWaddr 00:21:9b:1d:4c:7d
inet addr:192.168.1.15 Bcast:192.168.1.255 Mask:255.255.255.0
Машина 2:
$ route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
12.12.12.12 192.168.1.154 255.255.255.255 UGH 0 0 0 eth0
192.168.1.0 0.0.0.0 255.255.255.0 U 1 0 0 eth0
169.254.0.0 0.0.0.0 255.255.0.0 U 1000 0 0 eth0
0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 eth0
$ ping 12.12.12.12
PING 12.12.12.12 (12.12.12.12) 56(84) bytes of data.
64 bytes from 12.12.12.12: icmp_seq=1 ttl=64 time=0.604 ms
64 bytes from 12.12.12.12: icmp_seq=2 ttl=64 time=0.629 ms
И затем tcp dump подтверждает, что пинги идут туда, куда я думаю ...