Re: sub-subnetting

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Novembre 2001 ml@sikurezza.org
Soggetto: Re: sub-subnetting
Mittente: Bonelli Nicola
Data: 1 Nov 2001 16:36:01 -0000



-nb-
Conscience makes egotists of us all --Oscar Fingal O'Flaherty Wilde  

Email: bonelli@antifork.org - bonelli@blackhats.it - awgn@sicurezza.org    

Get my pgp.pub key at: http://awgn.antifork.org/pgp
pub  1024D/3ABF7616 2001-10-16 Bonelli Nicola <bonelli@antifork.org>
     Key fingerprint = 94ED B1EC 4426 8B75 641A  782E BB3E 5033 3ABF 7616


On Wed, 31 Oct 2001, Luca Salvini wrote:

> Ciao a tutti,
> sono alle prese con un problemino che mi lascia perplesso:
> un cliente ha una cdn con 16 ip statici e vorrebbe installare un firewall 
> basato su Linux (netfilter o ipchains) in modo che gli ip rimangano 
> pubblici (senza masquerading) e quindi ho pensato di nattare il tutto in 
> modo che :


> il firewall abbia una sua sotto-sottoretina
> gli altri ip ne abbiano a loro volta un'altra (più ampia;)

Perche' ? Poi realizzare un bridge cosi' che le due interfacce
del fw non hanno ip. 

In questo modo non devi subnettare ulteriormente, e non sprechi nemmeno
un ip; ottenendo anche quel pizzico di sicurezza in piu' visto che il
firewall risulta trasparente.

> ma quello che non mi è chiaro (scusate la domanda da newbie) è
> quale netmask utilizzare per ciascuno di questi due segmenti semprechè poi 
> il tutto funzioni;

> per esempio, supponendo che la sottorete sia x.x.x.160/28, cioè con gli ip 
> da 160 a 175, con nm 255.255.255.240, come potrebbe essere divisa  
> ulteriormente?

  
  Usando una netmask tipo ff.ff.ff.f0 con indirizzo di rete x.x.x.160

  Selezioni tutti gli indirizzi il cui byte meno significativo risulta
essere:

  1010????   hex 0xA?

  Per portare un ulteriore taglio potresti subnettare nel seguente modo:

  2  - ip al fw     :   160,161
  14 - ip alla rete     162-175
 
  per quanto riguarda la rete
  160-161:

  x.x.x.160/31

  mask: ff.ff.ff.fe     netaddr: x.x.x.160 
 


 ----------------------------------------------------------------------
  per la rete 162-175

  162 -> 10100010
  163 -> 10100011
  164 -> 10100100
  165 -> 10100101
  166 -> 10100110
  167 -> 10100111
  168 -> 10101000
  169 -> 10101001
  170 -> 10101010
  171 -> 10101011
  172 -> 10101100
  173 -> 10101101
  174 -> 10101110
  175 -> 10101111
 
         1010xxxx         
 

  Il problema e' che non e' possibile esprimere questo range con una sola
  combinazione netaddr/mask..

  Basta dividerlo in 3 sottomask..

                mask               netaddr

  10101___  -> 11111000 = 248      168
  101001__  -> 11111100 = 252      164
  1010001_  -> 11111110 = 254      162

  Risultato finale la rete 162-175 la individui cosi':
  ---------------------------------------------------

  x.x.x.168/255.255.255.248   matcha con 168-169-170-171-172-173-174-175
  x.x.x.164/255.255.255.252   matcha con 164-165-166-167
  x.x.x.162/255.255.255.254   matcha con 162-163


  Nicola.


> Grazie e ciao
> Luca
> 
> 
>   
> 
> 
> 
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List
> 
> 


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

In risposta a:
- sub-subnetting, Luca Salvini

Data:
- precedente: Re: firewall su floppy ?, Joker
- successivo: Re: weird Windows 2000/XP bug (fwd), supergate
- indice

Argomento:
- precedente: Re: sub-subnetting, Kundera
- successivo: R: sub-subnetting, Tiziano Sassatelli
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005