URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 88466
[ Назад ]

Исходное сообщение
"разбор полетов, нужно мнение,доступ+маршрутизация"
Отправлено avator , 19-Мрт-10 12:27

Привет Всем!
Помогите разобраться в ситуации:
есть сетки(кусочек)
10.1.10.0/24 <-> 10.1.10.1 eth1(router) 10.1.1.4 (eth0) <-> 10.1.1.0/24
router - linux напичканый сетевухами, все сетки работают исправно!!!
так вот в 10.1.10/24 воткнули HP сервак с ILO и был выдан адрес 10.1.10.205(делали это спецы из другой конторы, не первый раз!!!!),после чего заявили,что у них нет доступа на 443 порт(управление осуществляется через веб морду) из других сеток,только из 10.1.10.0
Так вот пинги из 10.1.1./24 проходили нормально, а вот все остальное никак(смотрел tcpdump в разных вариациях).
это сканы сделаны из 10.1.1.0 сетки
nmap -v -A 10.1.10.205
Starting Nmap 5.21 ( http://nmap.org ) at 2010-03-17 14:19 EET
NSE: Loaded 36 scripts for scanning.
Initiating Ping Scan at 14:19
Scanning 10.1.10.205 [4 ports]
Completed Ping Scan at 14:19, 0.20s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 14:19
Completed Parallel DNS resolution of 1 host. at 14:19, 0.00s elapsed
Initiating SYN Stealth Scan at 14:19
.......
Initiating Traceroute at 14:23
Completed Traceroute at 14:23, 0.01s elapsed
NSE: Script scanning 10.1.10.205.
NSE: Script Scanning completed.
Nmap scan report for it-dept....... (10.1.10.205)
Host is up (0.00096s latency).
Not shown: 996 closed ports
PORT      STATE    SERVICE VERSION
22/tcp    filtered ssh
80/tcp    filtered http
443/tcp   filtered https
17988/tcp filtered unknown
Too many fingerprints match this host to give specific OS details
Network Distance: 2 hops
.........
после долгих требований предоставить настройки этого ILO был выслан принтскрин где маска установлена в 16 бит,соответственно спецы признали,что очепятались изменив на 24 все заработало,но в наш адрес посыпались обвинения в неправильной настройке маршрутизации и т.д. и т.п.!!!!
на следующий день был проведен эксперимент(путем вкл завалявшегося сервачка):
1. 10.1.10.150/24 без указания шлюза
2. 10.1.10.150/16 с указанием шлюза
ни одна из указаных схем не заработала(и не должна)
остается вопрос почему у них с 16-битовой маской icmp пинги ходили, а все остальное не работало(изначально мы предполагали отсутствие шлюза)
P.S. или там на ILO существует свой фаер, который по умолчанию пускает только из своей сетки, и нам ВРАЛИ о влиянии 16-битовой маски????

Содержание

разбор полетов, нужно мнение,доступ+маршрутизация,vvvua, 14:15 , 19-Мрт-10
- разбор полетов, нужно мнение,доступ+маршрутизация,avator, 22:29 , 19-Мрт-10
  - разбор полетов, нужно мнение,доступ+маршрутизация,vvvua, 01:28 , 20-Мрт-10
    - разбор полетов, нужно мнение,доступ+маршрутизация,avator, 09:26 , 20-Мрт-10

Сообщения в этом обсуждении

"разбор полетов, нужно мнение,доступ+маршрутизация"
Отправлено vvvua , 19-Мрт-10 14:15

>1. 10.1.10.150/24 без указания шлюза
>2. 10.1.10.150/16 с указанием шлюза
если сетевуха 10.1.10.1/24, то в 1-м случае пинги будут ходить с роутера на серв и наоборот,
во 2-м случае должно тоже работать в соединении роутер-серв, но не сдругих сетей. Будут работать те сети, который не входят в 10.1.0.0/16. Тут уже могут косячить правила файрвола и NAT'a.
Во 2-м случае 10.1.1.0/24 входит в сеть 10.1.10.150/16 (вернее 10.1.0.0/16), поэтому ответ идет не потой записи маршрутизации.
>ни одна из указаных схем не заработала(и не должна)
>остается вопрос почему у них с 16-битовой маской icmp пинги ходили, а
>все остальное не работало(изначально мы предполагали отсутствие шлюза)
>
>P.S. или там на ILO существует свой фаер, который по умолчанию пускает
>только из своей сетки, и нам ВРАЛИ о влиянии 16-битовой маски????
>

"разбор полетов, нужно мнение,доступ+маршрутизация"
Отправлено avator , 19-Мрт-10 22:29

>
>>1. 10.1.10.150/24 без указания шлюза
>>2. 10.1.10.150/16 с указанием шлюза
>
>если сетевуха 10.1.10.1/24, то в 1-м случае пинги будут ходить с роутера
>на серв и наоборот,
>во 2-м случае должно тоже работать в соединении роутер-серв, но не сдругих
>сетей. Будут работать те сети, который не входят в 10.1.0.0/16. Тут
>уже могут косячить правила файрвола и NAT'a.
отсутствуют как таковые:
iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
>
>Во 2-м случае 10.1.1.0/24 входит в сеть 10.1.10.150/16 (вернее 10.1.0.0/16), поэтому ответ
>идет не потой записи маршрутизации.
>
т.е. при установке на хосте 10.1.10.150/16 должно работать следующее:
Ping 10.1.10.150 source 10.1.1.2
я правильно понял?

"разбор полетов, нужно мнение,доступ+маршрутизация"
Отправлено vvvua , 20-Мрт-10 01:28

>т.е. при установке на хосте 10.1.10.150/16 должно работать следующее:
>Ping 10.1.10.150 source 10.1.1.2
>я правильно понял?
при чем тут 10.1.1.2?
правильно адреса давай интерфейсам

"разбор полетов, нужно мнение,доступ+маршрутизация"
Отправлено avator , 20-Мрт-10 09:26

>
>>т.е. при установке на хосте 10.1.10.150/16 должно работать следующее:
>>Ping 10.1.10.150 source 10.1.1.2
>>я правильно понял?
>
>при чем тут 10.1.1.2?
>правильно адреса давай интерфейсам
речь шла о межсетевой маршрутизации т.е. сети 10.1.1/24 <-> 10.1.10/24 могут взаимодействовать между собой через некий шлюз, пусть будет cisco(если так проще).
поэтому пнул от: source 10.1.1.2 какая разница??? куда зологинился оттуда и пнул сути не меняет.
P.S. Ладно забейте, сам разберусь:-)