classic.ISPforum.cz

Pokusil jsem se nastinit cast site, ze ktere mi jde hlava kolem. Nebyt tady napsano "Místo, kde žádná otázka není hloupá." tak jdu asi hned otravovat vyssi vrstvu (ISP), ale nechci na ne vybafnout, kdyz si nejsem jisty, ze maji problem oni.


jde o to, ze nektere verejne IP adresy prestaly z venku reagovat a jsou nepristupne.
konkretne na B jsou NAT pravidla pro SMTP a 3 klienty

klient 2 si stezoval, ze mu nefunguje internet, pricemz data tekly od nej i k nemu (kontrolovano z gatewaye B), ale az v momente, kdy jsem vypnul preklad pro jeho verejnou IP .105 (tudiz se identifikuje jako gateway .102) teprve mohl do internetu, prislo mi to divne, proc to nefunguje, ale v tu chvil jsem byl rad, ze mam klid. Nicmene myslenka, ze nebude mit verejnou ho moc nepotesila. To same klient 1 , ktery uz v ceste na B nema zadne dalsi zarizeni. A bohuzel SMTP taky nereaguje a jestli to do pondeli nevyresim, tak me lidi uslapou, ze jim nejdou maily ve firmach (uz v patek jsem jim horko tezko vysvetloval, ze je problem)

Rekl bych si, ze jsem nekde neco zmastil, ale nic jsem v tomto nemenil ani nepridaval do FW zadne nove dropovaci pravidlo, a aby toho nebylo malo klient3 funguje uplne v pohode pres verejnou. Tzn. z meho rozsahu verejne adresy 101 , 102 , 106 jedou a 103 , 104 , 105 jsou z vnejsi site nepingnutelne (uvnitr jsou vsichni zivi)
prohodil jsem nefunkcni forwarding klienta 2 za 3 a jede, takze muzu rict, ze v ceste k nim ani ve fyzickem zarizeni chyba neni.
tracert z venku se zastavi u ISP, takze jsem si mozna uz asi celkem jisty, ze to je u nej, ale preci jen to chci asi slyset jeste od nekoho

proc natujes na B? jestli mas dal verejny tak natuj az na koncich. to budes mit pekne zpraseny

ktery konec mas na mysli?
BTW jeste porad operuji s tim co je tak, jak jsem to prevzal. Zmeny budu delat asi uplne ve vsem jak jsem zjistil. O systemu se tu ted moc mluvit neda

konec je to kde jsou kilenti a smpt server.

Jestli ty adresy jsou opravdovy a mas opravdu sit xxx.100/29 a adresy jak pises, tak jses mimo rozsah subnetu, ten totiz zacina na xx.96 adresou site a konci xx.103 broadcastem

hapi: takze bych mel 2 klienty natovat na C a ty dalsi dva na B ? pokud jsem to dobre pochopil.... to mi prijde celkem neprehledne a mozn ai zbytecne (jsem po par pivech, takze ra no mi to mo zna prijde logicctejsi)

Hobbit: nene, ty adresy jsou jen pro ilustraccci, rozsah ve s kutecnosti sedi jak ma

edit: špatně jsem si přečetl, tudíž poznámka bezpředmětná ;)

No predstava, ze prekladam adresy pokazde az na konci se mi moc nelibi. Tahle mam vsechno pohromade na jednom stroji a prehledne pod sebou.
Musim nad tim popremyslet v cem vsem to bude lepsi ... ale jsem rad, ze mi to zpochybnujete, naslo by se urcite vic veci, ktere nejsou zrovna idealne vyresene.
Diky

jenom dotaz - proc nenechas vsechny veci jet na privatnich adresach a na vstupu neudelas netmap a dstnat pro jednotlivy prideleny verejny IPcka? Kdyz se pak neco zmeni, jenom to pravis na hlavnim routeru a nemusis prekopavat nastaveni u klientu

Hobbit: sakra, tak ted jsem v tom asi nejak zamotany, tahle jak to rikas to mam ted na B, preklady jsou jen tam na jednom miste

chain=srcnat action=src-nat to-addresses=<verejna> src-address=<vnitrni> out-interface=<NsD_do_A>
chain=dstnat action=dst-nat to-addresses=<vnitrni> dst-address=<verejna>

ale podle hapiho, bych to tak mit asi nemel, coz jsem stejne porad nepochopil proc, prece uvnitr at si to mezi sebou skace jak chce, ale az smerem ven at se tvari verejne.

hmm, ja pouzivam:
chain=dstnat action=netmap to-addresses=<vnitrni> dst-address=<verejna>
chain=srcnat action=netmap to-addresses=<verejna> src-address=<vnitrni>

cela sit jede na neverejnejch IPckach a kdo/co potrebuje verejnou, tomu ji namapuju.

a ted co je lepsi a v cem ?