Routing und Netmasken

[signal_15]

Mahlzeit,

ich habe hier eine solaris basierte firewall die ich nur sehr ungern
durchstarten wuerde. nicht nur weil es den geschaeftsbetrieb der firma stoppen
wuerde sondern weil ich dann auch nicht mehr vor den cisco-fw admins angeben
kann

Code: [Auswählen]

willi/etc# uptime
 11:34am  up 625 day(s), 15:28,  1 user,  load average: 0.05, 0.08, 0.08
willi/etc#

erst mal eine kurze beschreibung der situation bzw. infrastruktur. willi ist
eine netra-t1 mit zwei ethernet modulen auf dem board. hme0 haengt am internen
netz mit der adresse 10.222.0.20/22 und hme1 haengt an der internetleitung mit
der adresse 217.x.x.x/27. im netz 10.222.0.0 ist der router mit der adresse
10.222.0.1 das gateway fuer alle internen netze, die alle mit 10.x.x.x
beginnen. dahinter befinden sich die netze fuer unsere server, clients und
aussenstellen. die meisten netze hatten bis vor kurzem eine 24er maske.

Code: [Auswählen]

      | hme1 217.x.x.x/27
      |
   ___|___
  | willi |
   -------
      | hme0 10.222.0.20/22
      |
      |
   ___|___
  | router|
   -------
   | |  |
   | |  |
   | |  \____ netz 10.222.16.0/22 (Clients)
   | |
   | \_______ netz 10.222.8.0/24 (Server)
   |
   \_________ netz 10.222.132.0/24 (Aussenstelle z.b. Dortmund)

die routing tabelle auf willi sieht folgendermasen aus

Code: [Auswählen]

willi/etc# netstat -rn

Routing Table: IPv4
  Destination           Gateway           Flags  Ref   Use   Interface
-------------------- -------------------- ----- ----- ------ ---------
217.xx.xx.xxx        10.222.0.10          UGH       1   1582
217.xx.xx.xxx        10.222.0.10          UGH       1     13
217.xx.xx.xxx        10.222.0.10          UGH       1   2960
217.xx.xx.xxx        10.222.0.10          UGH       1      0
217.xx.xx.xxx        217.xx.xx.xxx        U         1  29298  hme1
10.222.148.0         10.222.0.10          UG        1     63
10.222.180.0         10.222.0.10          UG        1    678
10.222.150.0         10.222.0.10          UG        1      0
10.222.16.0          10.222.0.10          UG        1  70908
10.222.144.0         10.222.0.10          UG        1      0
10.222.146.0         10.222.0.10          UG        1      0
10.222.156.0         10.222.0.10          UG        1      1
10.222.125.0         10.222.0.10          UG        1   1626
10.222.158.0         10.222.0.10          UG        1    403
10.222.24.0          10.222.0.10          UG        1   4961
10.222.152.0         10.222.0.10          UG        1      0
10.1.102.0           10.222.0.10          UG        1      0
10.222.154.0         10.222.0.10          UG        1      0
10.222.132.0         10.222.0.10          UG        1   5083
10.222.164.0         10.222.0.10          UG        1      0
10.222.134.0         10.222.0.10          UG        1   1599
10.222.166.0         10.222.0.10          UG        1      0
10.222.128.0         10.222.0.10          UG        1   1448
10.222.160.0         10.222.0.10          UG        1      0
10.222.129.0         10.222.0.10          UG        1   3342
10.222.130.0         10.222.0.10          UG        1      0
10.222.162.0         10.222.0.10          UG        1      0
10.222.140.0         10.222.0.10          UG        1      0
10.222.142.0         10.222.0.10          UG        1      0
10.222.8.0           10.222.0.10          UG        1 220607
10.222.136.0         10.222.0.10          UG        1   2507
10.222.138.0         10.222.0.10          UG        1      0
10.222.170.0         10.222.0.10          UG        1      0
10.222.0.0           10.222.0.20          U         1  31138  hme0
224.0.0.0            10.222.0.20          U         1      0  hme0
default              217.xx.xx.xxx        UG        111957136
127.0.0.1            127.0.0.1            UH       3924719812  lo0

das netz 10.222.16.0 fuer die clients wurde jetzt auf eine 22er maske aufgebohrt.
erstreckt sich somit von 10.222.16.1 bis 10.222.19.254.

auf willi habe ich die /etc/netmasks aktualisiert

Code: [Auswählen]

#
217.xx.xx.xxx   255.255.255.224
10.222.0.0      255.255.252.0
10.222.8.0      255.255.255.0
10.222.16.0     255.255.252.0
10.222.24.0     255.255.255.0
10.222.132.0 255.255.255.0

trotzdem gehen pakete die an 10.222.18.x gerichtet sind aus dem hme1 interface
raus richtung default-gateway und werden dort natuerlich auch gleich fallen
gelassen.

jetzt zur meiner frage. reicht ein 'kill -HUP' auf den inetd, damit die
/etc/netmasks neu eingelesen wird und das routing wieder passt, oder komme ich
auch anders ans ziel.

ct,

[Ten Little Indyans]

Der inetd hat mit dem Routing nichts zu tun, das wird also nichts bewirken.

Ich vermute mal dass Du mit dem 'route' Kommando die betroffene Route ändern oder gar neu anlegen musst.

Vielleicht reicht ein "route change ...". Da ich das aber noch nie gemacht habe möchte ich mich nicht festlegen.
(Aber in denke in der Richtung solltest Du Dich mal schlaumachen - man route)

EDIT:

Note that "route change" is basically broken as designed; it relies on
looking up routes merely by destination match, and you can have
multiple routes to the same destination that differ in either next hop
or interface. It's better to use 'delete' and then 'add' to achieve
the desired effect.

Also doch besser erst die alte 10.222.16.0 Route löschen und dann mit korrekter Netmask neu anlegen.

[signal_15]

welcher teil ist dann fuer das routing zustaendig?

bisher habe ich immer routen fuer netze auf folgende weise gesetzt.

Code: [Auswählen]

route add net 10.222.16.0 10.222.0.10 1
wobei die netzmaske aus der '/etc/netmasks' abgeleitet wurde. oder habe ich das total falsch verstanden!?

ich werde es mit folgendem befehl versuchen.

Code: [Auswählen]

route add 10.222.16.0 -netmask 255.255.252.0 10.222.0.10

ct,

[stiefkind]

welcher teil ist dann fuer das routing zustaendig?

Gibt keinen Daemon dafür. Es existiert zwar ein in.routed, der kümmert sich aber lediglich um automatisierte, dynamische Updates der Routingtables. Und nutzt dazu IIRC per default RIP2.

Je nach Solaris-Version schaltet man IP-Forwarding (und das ist das, was du hier unter Routing verstehst) entweder mit routeadm ein und aus (Solaris 10), oder man schreibt mit ndd ein ip_forwarding=1 in /dev/ip. Man-Page zu ndd lesen.

ich werde es mit folgendem befehl versuchen.

Code: [Auswählen]

route add 10.222.16.0 -netmask 255.255.252.0 10.222.0.10


Dann hast du die alte und die neue Route in der Routing-Table und beide zeigen auf das selbe Gateway. Nachdem sich an Verkabelung und MAC-Adresse nichts ändert, sollte das funktionieren. Die alte Route würde ich trotzdem bei Gelegenheit raus löschen.

wolfgang