PPP HOWTO: Маршрутизация в LAN

Next Previous Contents

25. Маршрутизация в LAN

Если вы соединены с LAN, но также хотите использовать PPP на вашей персональной машине Linux, то вы должны адресовать одни пакеты в LAN (через ваш интерфейс ethernet), а другие на удаленный PPP сервер и дальше него (в Интернет).

Этот раздел не пытается обучить вас маршрутизации - он имеет дело только с простым, специальным случаем (статической) маршрутизации!

Я настойчиво прошу вас прочесть Руководство Сетевого Администратора Linux (NAG), если вы НЕ знакомы с маршрутизацией. Также книга O'Reilly "Сетевая Администрация TCP/IP" раскрывает эту тему в очень понятной форме.

Основное правило статической маршрутизации - ЗАДАННЫЙ ПО УМОЛЧАНИЮ маршрут должен быть тот, который указывает на НАИБОЛЕЕ число сетевых адресов. Для других сетей, введите специфические маршруты в таблицу маршрутизации.

Единственая ситуация, которую я собираюсь раскрыть здесь - это, когда ваш Linux PC находится в LAN, которая не соединена с Интернет - и вы хотите позвонить наружу в Интернет для персонального использования, сохраняя соединение с LAN.

Прежде всего удостоверитесь, что ваш маршрут Ethernet установлен так, чтобы специфические сетевые адреса были доступны в вашей LAN НЕ по маршруту по умолчанию!

Проверьте это, дав команду route. Вы должны увидеть что-то вроде следующего:

[root@hwin /root]# route -n
Kernel routing table
Destination     Gateway         Genmask         Flags MSS    Window Use Iface
loopback        *               255.255.255.0   U     1936   0       50 lo
10.0.0.0        *               255.255.255.0   U     1436   0      565 eth0
Если ваш интерфейс ethernet (eth0) указывает на маршрут по умолчанию, (первый столбец будет показывать "default" в строке eth0), то вы должны изменить ваши скрипты инициализации ethernet, чтобы заставить его указать на специфические сетевые адреса раньше, чем на заданный по умолчанию маршрут (проконсультируйтесь с Net2 HOWTO и NAG).

Это позволит pppd устанавливать ваш заданный по умолчанию маршрут как показано ниже:

[root@hwin /root]# route -n
Kernel routing table
Destination     Gateway         Genmask         Flags MSS    Window Use Iface
10.144.153.51   *               255.255.255.255 UH    488    0        0 ppp0
127.0.0.0       *               255.255.255.0   U     1936   0       50 lo
10.1.0.0        *               255.255.255.0   U     1436   0      569 eth0
default         10.144.153.51   *               UG    488    0        3 ppp0
Как вы видите, мы имеем главный маршрут к PPP серверу (10.144.153.51) через ppp0 и также заданный по умолчанию сетевой маршрут, который использует PPP сервер как шлюз.

Если ваши установки должны быть более сложными, чем эта - читайте документацию по маршрутизации, упомянутую выше и проконсультируютесь с экспертом на вашем сайте!

Если в вашей LAN уже есть маршрутизатор, то вы уже будете иметь шлюз в глобальные сети, доступные вашему сайту. ТЕМ НЕ МЕНЕЕ вы должны указать ваш заданный по умолчанию маршрут на интерфейс PPP - и сделайте другие маршруты специфическими для сетей, которые они обслуживают.

25.1 Обратите внимание на защиту

Когда вы настриваете компьютер с Linux в существующей LAN, чтобы подключаться к Интернет, то вы потенциально открываете вашу всю LAN Интернет - и взломщикам, которые постоянно находятся там. Прежде, чем вы сделаете это, я настойчиво прошу вас проконсультироваться с вашим сетевым администратором и стратегией защиты сайта. Если ваше PPP соединение с Интернетом будет использовано при успешной атаке на ваш сайт, то на вас по крайней мере обрушится гнев ваших пользователей, сетевых и системных администраторов. Также для вас могут возникнуть более серьезные проблемы!

Прежде, чем вы соедините LAN с Интернет, вы должны рассмотреть вопросы защиты даже для ДИНАМИЧЕСКОГО соединения - следовательно сначала обратитесь к O'Reilly "Построение файерволов Интернет"!


Next Previous Contents