Veřejné IP
Obsah
Postup, kterak k veřejné IP adrese přijíti
Zásady
- počet IP adres je omezen max. na 1 člen HKfree = 1 IP adresa, toto platí i pro správce, i členy VV.
- (neblokovaná) veřejná IP adresa vyžaduje pokročilou počítačovou gramotnost a zodpovědnost - nemáte-li nastavený firewall a aktuální antivir, může vaše hacknuté PC způsobit více škody, než užitku. Počítejte s tím, že zodpovědnost za zabezpečení svého počítače nesete vy. Pokud o zabezpečení nedbáte, ani o veřejnou IP nežádejte. Samozřejmostí je také záplatovaný operační systém (obzvláště ten od Microsoftu)
Doufám, že jste se dostatečne vyděsili a nebudete to brát na lehkou váhu! :-)
Uživatel
- Zažádám o přidělení IP u sveho spravce a kopii teto zadosti poslu i na ip@hkfree.org (uvedu ID, oblast, mail na správce a proč ji chci)
- Až mi tato adresa příjde, sdělím tuto skutečnost správci, který ji zadá do userdb
- Nastavím si ji na svém počítači s maskou 255.255.254.0 (/23) a bránou 85.132.160.1 (pokud mám operační systém (Linux, BSD, ...), který umí pointopoint interface, mohu si nastavit tuto IP i s maskou /32)
- Nezapomenu si nastavit na svoji kartu i tu IP, kterou jsem měl původně (10.107.x.x) včetně původní brány. Zároveň si opravím směrovací tabulku, aby po hkfree byla používána IP 10.107.x.x a ne veřejná. (Veřejná IP uvnitř hkfree nevadí, ale někteří uživatelé mají ve svých firewallech povolený jen hkfree rozsah 10.107.x.x, takže se pak nemusíte dostat na jejich ftp, stahovat od nich na DC apod.)
Windows
- Pokud používáte službu Okolní počítače, čtěte:
Je potřeba nastavit jako první IP adresu 10.107.x.x a tlačítkem upřesnit přidat veřejnou IP. Jinak by Windowsy hledaly okolní počítače mezi veřejnými IP adresami a to nebude fungovat. Příkaz pro routu, který je na konci tohoto návodu, je pak úplně stejný.
Windows XP
- Zjistíme aktuální nastavení
- Ručně nastavíme naši původní IP, veřejnou přidáme tlačítkem Upřesnit
- Nezapomeneme odebrat defaultní bránu začínající na 10.107... Tím docílíme, že po HKfree se budeme pohybovat s naši HKFree IP a ven "půjdem" vždy naší novou veřejnou IP (85.132...)
Figl: Když do červeného rámečku nic nevyplníme, tak nemusíme nic mazat ;-)
Šablona:Dodělat(co)
- Spustíme
route ADD 10.0.0.0 MASK 255.0.0.0 10.107.GW.IP -p
- A to je vše.
Windows 9x
Jak nastavit více IP na jedné kartě popisuje tento Eng návod
Pozor! Tento návod znamená úpravu registru systému, nic tam neměňte, pokud nevíte co děláte!
U win95 je potřeba příkaz route spustit po každém restartu, ve win98 nevím. Ve win XP parametr -p udělá routu permanentní. Smázne ji parametr -f.
Linux
10.107.x.x - moje dosavadní IP v hkfree
85.132.16x.x - moje veřejná IP
10.107.GW.IP - moje dosavadní brána
Linux (kompletní nastavení):
ip link set dev eth0 up ip address add 85.132.16x.x/32 dev eth0 ip address add 10.107.x.x/nn brd + dev eth0 ip route add 10.0.0.0/8 dev eth0 via 10.107.GW.IP src 10.107.x.x ip route add default dev eth0 via 10.107.GW.IP src 85.132.16x.x
kde nn je moje podsíť
ukázka z konkrétního /etc/network/interfaces v Debianu:
iface eth0 inet manual up ip link set dev eth0 up up ip address add 85.132.161.215/32 dev eth0 up ip address add 10.107.3.77/27 brd + dev eth0 up ip route add 10.0.0.0/8 dev eth0 via 10.107.3.65 src 10.107.3.77 up ip route add default dev eth0 via 10.107.3.65 src 85.132.161.215 down ip address flush dev eth0 down ip link set dev eth0 down dns-nameservers 10.107.3.65 10.107.3.1 10.107.4.100 dns-search JNet.hkfree.org d-network.hkfree.org hkfree.org
Malá poznámka k sambě:
Pokud chcete, aby vám chodila správně samba i poté co si nastavíte veřejnou IP adresu, musíte do /etc/samba/smb.conf do sekce global uvést řádek
interfaces = 10.107.x.x/nn
a samozřejmě doplnit i další interfacy na kterých má samba poslouchat (třeba interface do lokální sítě).
Bez téhle úpravy se bude samba snažit posílat UDP pakety na broadcast veřejné IP adresy, takže vás ostatní neuvidí v okolních počítačích a vy je také neuvidíte.
Pro správce
- Nejdříve je potřeba přidat cestu (routu) k přidělené IP (idealně do zebra.conf)
Příklad:
eth0 je interface na který je připojen klient a 85.132.160.55 je přidělená IP.
ip route 85.132.160.55/32 eth0
Pokud se bude přes jeden interface připojeno víc lidí s veřejnou IP vedle sebe, tak je lepší dávat do zebra.conf i routy s větší maskou. (Vlastně je to více než vhodné!)
- Zkontroluji, jestli nedistribuuji veřejnou IP s podivně malou metrikou (1, 20 apod.)
na charonu spustím
ip route |grep 85.132.16
a podívám se, jestli je metrika OK, pokud není, tak se podívám do svého ospfd.conf
router ospf ospf router-id 10.107.xx.xx redistribute connected metric-type 1 route-map just-10 redistribute kernel metric-type 1 redistribute static metric-type 1 ...
zde je klíčové kouzelné slovo metric-type 1
- Zapnu proxy_arp (a hodím do nějakého init scriptu)
echo 1 > /proc/sys/net/ipv4/conf/all/proxy_arp echo 1 > /proc/sys/net/ipv4/ip_nonlocal_bind
- Přidám na router IP 85.132.160.1 a ujistím se, že není ! distribuovaná ! přes ospf (nemělo by se stát ani při redistribute static, redistribute kernel). Tato IP slouží jako brána pro uživatele. (Protože není distribuovaná, tak nikde nemůže vzniknout její duplicita - stejný funkční efekt by měl statický arp záznam, ale klient pak nemůže bránu pingnout, což není správně)
Tu IP by mělo stačit dát na jeden interface na routru a okamžitě by mělo být možné ji pingnout ze všech ostatních ifaců (díky arp_proxy). Pokud ne, přidám tuto IP na potřebné ifacy. I když jde o podsíť /23, stačí mít bránu jako /32, ale není to nutné.
ip addr add 85.132.160.1/32 dev eth0
- Upravím DNS záznam na charonu v /etc/bind/master/85.132.160 nebo /etc/bind/master/85.132.161, /etc/bind/master/hkfree.org a /etc/bind/master/hkfree.org-out a změním serial (o přístup žádejte na ip@hkfree.org se svým loginem na charona). Dám si pozor na to, abych needitoval tyto soubory, když je edituje někdo jiný.
- Oznámím svém připojenci, že by mu to mělo jet.
- Příchozí spojení uživateli zablokuji následujícím pravidlem, pokud bude potřeba
iptables -A FORWARD -d komu -p tcp --syn -j REJECT --reject-with tcp-reset