>Теперь по сути... С брандмауэром - знакома, но увы всего
>азы. Маны читали, знаем слышали... остаеться только перефразировать вопрос. Да
>он действительно задан был не корректно. и если вы уже
>не затруднились расписать такую лекцию для домохозяйки, тогда может вам не
>составит сложности прочесть еще немного... И так: пробуем еще раз. Тут, понимаете, в чем сложность... Весьма не лишним, а я бы даже сказал необходимым, знаниям к файрволам нужно еще добавить про "принципы построения сетей и маршрутизации данных внутри и между ними".
>Имееться Фри_6.1 на ней есть 2 интерфейса (скажем первый и второй) с
>адресами 1,1,1,1 и 2,2,2,2
А давайте называть интерфейсы их именами, скажем, первый интерфейс 1.1.1.1 будет rl1(рл1), а второй 2.2.2.2 - rl2(рл2). Так и короче и кнопок на клаве мне нажимать меньше :).
>к интерфейсу первому, тому у которого адресс 1,1,1,1 подключены пользователи в сети
>1,1,1,0/24. есть одна особенность: трафик в сети 1,1,1,0/24 между компьютерами
>перекачиваеться через интерфейс сервера 1,1,1,1. И происходит это только лишь так
>и никак иначе, не будем удаваться в детали и думать от
>чего так.
Пойдем с другой стороны. Прежде всего уясним, что скорее всего сеть у вас сделана на витой паре (пятой категории, наверное экранированная). Если это не так и у вас сеть на старом коаксиале, абзаца три-четыре можно не читать.
Так вот, сети на витой паре строятся по топологии звезда, т.е. есть много компов, они проводами (лучами) соединены в одной точке. Этой точкой является хаб (хуже) или свитч(лучше), они же концентратор и коммутатор соответственно. Когда пакет идет от компа, скажем, 1.1.1.1 до 1.1.1.2, то сперва пакет с 1.1.1.1 попадает на хаб/свитч. У хабов/свитчей есть много (от 4х и выше) портов, куда и подключаются все компы в сети. Так вот, если наш пакет попал на хаб, то электроникой хаба этот пакет будет транслирован на все порта хаба. Другими словами этот пакет пойдет сразу всем компам в сети. Если среди этих компов найдется с адресом 1.1.1.2, то нам повезло и пакет будет доставлен. Остальные компы, получая этот пакет и видя, что адрес получателя не совпадает с их собственным, просто игнорируют его (вот такие вот джентельмены, чужую корреспонденцию не читают...).
Если же на пути пакета попался свитч, то тут все немного по другому. Свитч - зверек поумнее хаба. У него есть немного мозгов и он активно пользуется _таблицей маршрутизации_. Будучи включенным в какую-либо сеть, он активно начинает пользоваться своими эвристическими анализаторскими методами и потихоньку составляет себе таблицу соответствий ip-адреса и номера портов, имеющихся у свитча в наличии. Значит, повав на свитч, заголовок нашего пакета будет проанализирован на предмет адреса получателя. Потом свитч посмотрит в своей таблице, какой же порт соответствует этому ip, а затем, соответственно, на найденый порт и отправит пакет. Если ничего свитч в своей таблице не найдет, то, обидевшись, пошлет пакет сразу на все буквы. Опс, не буквы, на все порта. А там дальше, кто откликнется, тот и владелец нужно ip...
Во всей этой топологии сервер фактически является самым обычным, рядовым участником сети. Т.е. подключается точно также как и все остальные машины в сети, и, с точки зрения хаба/свитча, ничем выдающимся не является... Разве что айпи-адрес, как правило, козырной, на единичку оканчивается.
Из всего этого можно сделать вывод, что маршрутизацией в сегменте сети занимается хаб/свитч, а не сервер.
Следовательно,
>к интерфейсу первому, тому у которого адресс 1,1,1,1 подключены пользователи
>в сети 1,1,1,0/24.
является неверным утверждением, т.к. одному интерфейсу (рл1) не может быть подключено столько пользователей, т.к. порт у сетевой карты всего один. К этому интерфейсу может быть подключен хаб/свитч (лучик звезды, если смотреть на топологию), через который данный интерфейс общается со своими друзьями в пределах сети.
>есть одна особенность: трафик в сети 1,1,1,0/24 между компьютерами
>перекачиваеться через интерфейс сервера 1,1,1,1.
Теперь, когда вы знаете про топологию сети, проследим путь пакета, идущего по пути, который вы только что указали.
комп(1.1.1.10) -> свитч -> сервер(1.1.1.1) -> свитч -> получатель (1.1.1.20)
Чтобы не замусоривать трафик в сети, снижая тем самым ее пропускную способность, маршрут сей нуждается в хорошей оптимизации. Мы видим, что отправленный пакет приходит на свитч, уходит с него, затем опять на него же возвращается. И зачем ему так петлять? Убираем этот кусок маршрута, и маршрут сразу сокращается вдвое. Пакет наш и так будет доставлен, а вдобавок и сервер избавлен от необходимости этот пакет обрабатывать. Может ему что поважнее шлют, а он тут глупостями занимается...
>И происходит это только лишь так и никак иначе, не будем
>удаваться в детали и думать от чего так.
А ведь надо, никуда от этого не деться. Вы же ломаете типичное представление людей об организации сети. И всем интересно будет узнать, отчего так, ведь это скорее исключение из правил, нежели правило!
>Задача: запретить в Фаерволе это перекачивание трафика
>между клиентами сети 1,1,1,0/24 через интерфейс сервера 1,1,1,1. И
>одновременно оставить открытым канал для каждого пользователся сети 1,1,1,0/24 к интерфейсу
>сервера 1,1,1,1 для дальнейшего перенаправления\приема трафика(НЕ прохождения по этой же сети),
>скажем редирект на второй интерфейс определенных запросов(это уже не суть дела).
Ну и, соответственно, задача, в свете изложенного выше, требует еще одного уточнения.
Единственное, что еще можно понять, так это то, что сервер ваш, 1.1.1.1, является еще и маршрутизатором (роутером), т.е. на нем есть два интерфейса - рл1, который смотрит в сеть 1.1.1.0/24, и рл2, смотрящую в сеть 2.2.2.0/24. Вот сервер и заставили маршрутить пакеты между этими двумя сетями. И компы из 1.1.1.0/24 спокойно будут болтать пакетами с компами из 2.2.2.0/24. Но они _не_ будут использовать сей маршрутизатор для того, чтобы болтать с компами из своей же сети!
>Все на что мне хватило смекалки:
>add 100 allow ip from 1.1.1.0/24 to 1.1.1.1
>add 110 allow ip from 1.1.1.1 to 1.1.1.0/24
>(нужно ли писать эти 2 правила если пакеты сами по себе бегают
>через 1,1,1,1 ???
Поскольку пакеты сами по себе через 1.1.1.1 не бегают, следовательно нет и необходимости в этих правилах. Если только ваш файрвол по умолчанию не блокирует все пакеты ("запрещать все, что не разрешено"), то эти правила нужны для того, чтобы можно было доставить пакеты серверу 1.1.1.1 с компов сети 1.1.1.0/24 и обратно, с сервера в сеть.
>add 200 deny ip from 1.1.1.0/24 to 1.1.1.0/24 via 1.1.1.1 (насколько
>я знаю, тут можно указать АйПи интерфейса, так как при указании
>интерфейса он все-равно заменяеться его адрессом при загрузке и обработке правил
>брандмауера)
Так то оно так, только если у сетевой карты есть алиасы (т.е. на сетевую повесили несколько ip-адресов), можно запутаться и впасть в кому, пытаясь узнать, почему же не работает правило файрвола, ведь все вроде правильно (а в итоге оказывается, что правила составляли с учетом не того ip-адреса сетевой, алиасов то было несколько)...
Да и вообще, разве не короче написать rl0 вместо 1.1.1.1. К тому же, ip может поменяться, что повлечет за собой переписку всех существующих правил файрвола. А с именем интерфейса ничего менять не придется.
Уфф, все, пошел отдыхать...
Вариант для распечатки
OpenNET: Виртуальная конференция (Public)
on 30-Сен-06, 20:55 
