Mahlzeit,
ich habe hier eine solaris basierte firewall die ich nur sehr ungern
durchstarten wuerde. nicht nur weil es den geschaeftsbetrieb der firma stoppen
wuerde sondern weil ich dann auch nicht mehr vor den cisco-fw admins angeben
kann
willi/etc# uptime
11:34am up 625 day(s), 15:28, 1 user, load average: 0.05, 0.08, 0.08
willi/etc#
erst mal eine kurze beschreibung der situation bzw. infrastruktur. willi ist
eine netra-t1 mit zwei ethernet modulen auf dem board. hme0 haengt am internen
netz mit der adresse 10.222.0.20/22 und hme1 haengt an der internetleitung mit
der adresse 217.x.x.x/27. im netz 10.222.0.0 ist der router mit der adresse
10.222.0.1 das gateway fuer alle internen netze, die alle mit 10.x.x.x
beginnen. dahinter befinden sich die netze fuer unsere server, clients und
aussenstellen. die meisten netze hatten bis vor kurzem eine 24er maske.
| hme1 217.x.x.x/27
|
___|___
| willi |
-------
| hme0 10.222.0.20/22
|
|
___|___
| router|
-------
| | |
| | |
| | \____ netz 10.222.16.0/22 (Clients)
| |
| \_______ netz 10.222.8.0/24 (Server)
|
\_________ netz 10.222.132.0/24 (Aussenstelle z.b. Dortmund)
die routing tabelle auf willi sieht folgendermasen aus
willi/etc# netstat -rn
Routing Table: IPv4
Destination Gateway Flags Ref Use Interface
-------------------- -------------------- ----- ----- ------ ---------
217.xx.xx.xxx 10.222.0.10 UGH 1 1582
217.xx.xx.xxx 10.222.0.10 UGH 1 13
217.xx.xx.xxx 10.222.0.10 UGH 1 2960
217.xx.xx.xxx 10.222.0.10 UGH 1 0
217.xx.xx.xxx 217.xx.xx.xxx U 1 29298 hme1
10.222.148.0 10.222.0.10 UG 1 63
10.222.180.0 10.222.0.10 UG 1 678
10.222.150.0 10.222.0.10 UG 1 0
10.222.16.0 10.222.0.10 UG 1 70908
10.222.144.0 10.222.0.10 UG 1 0
10.222.146.0 10.222.0.10 UG 1 0
10.222.156.0 10.222.0.10 UG 1 1
10.222.125.0 10.222.0.10 UG 1 1626
10.222.158.0 10.222.0.10 UG 1 403
10.222.24.0 10.222.0.10 UG 1 4961
10.222.152.0 10.222.0.10 UG 1 0
10.1.102.0 10.222.0.10 UG 1 0
10.222.154.0 10.222.0.10 UG 1 0
10.222.132.0 10.222.0.10 UG 1 5083
10.222.164.0 10.222.0.10 UG 1 0
10.222.134.0 10.222.0.10 UG 1 1599
10.222.166.0 10.222.0.10 UG 1 0
10.222.128.0 10.222.0.10 UG 1 1448
10.222.160.0 10.222.0.10 UG 1 0
10.222.129.0 10.222.0.10 UG 1 3342
10.222.130.0 10.222.0.10 UG 1 0
10.222.162.0 10.222.0.10 UG 1 0
10.222.140.0 10.222.0.10 UG 1 0
10.222.142.0 10.222.0.10 UG 1 0
10.222.8.0 10.222.0.10 UG 1 220607
10.222.136.0 10.222.0.10 UG 1 2507
10.222.138.0 10.222.0.10 UG 1 0
10.222.170.0 10.222.0.10 UG 1 0
10.222.0.0 10.222.0.20 U 1 31138 hme0
224.0.0.0 10.222.0.20 U 1 0 hme0
default 217.xx.xx.xxx UG 111957136
127.0.0.1 127.0.0.1 UH 3924719812 lo0
das netz 10.222.16.0 fuer die clients wurde jetzt auf eine 22er maske aufgebohrt.
erstreckt sich somit von 10.222.16.1 bis 10.222.19.254.
auf willi habe ich die /etc/netmasks aktualisiert
#
217.xx.xx.xxx 255.255.255.224
10.222.0.0 255.255.252.0
10.222.8.0 255.255.255.0
10.222.16.0 255.255.252.0
10.222.24.0 255.255.255.0
10.222.132.0 255.255.255.0
trotzdem gehen pakete die an 10.222.18.x gerichtet sind aus dem hme1 interface
raus richtung default-gateway und werden dort natuerlich auch gleich fallen
gelassen.
jetzt zur meiner frage. reicht ein 'kill -HUP' auf den inetd, damit die
/etc/netmasks neu eingelesen wird und das routing wieder passt, oder komme ich
auch anders ans ziel.
ct,