HI ALL!
Имеется такая проблема: Linux-сервер с тремя интерфейсами: внутр. eth1, внешний eth0 + VPN-соединение ppp0 поверх Eth0. За ним находится файрвол Solaris, за файрволлом DMZ и локальная сеть. Все прекрасно работает за одним исключением - при поднятии VPN во внешний мир не отправляется почта с mailserver-a в DMZ. Хочется сделать так, чтобы все пакеты из локальной сети с dst port=25 уходили строго через eth0. Пробовал с помощью iptables и iproute2. Может, что-то делаю неправильно. Жду советов.
Судя по всему у тебя при поднятии vpn устанавливется маршрутизация по умолчанию на устройство ppp0
посмотри опцию nodefaultroute в man pppd
для vpn наверное лучше поставить статический маршрут а по умолчанию гнать всё через eth0
>Судя по всему у тебя при поднятии vpn устанавливется маршрутизация по умолчанию
>на устройство ppp0
>посмотри опцию nodefaultroute в man pppd
>для vpn наверное лучше поставить статический маршрут а по умолчанию гнать всё
>через eth0
Беда в том, что если не использовать defaultroute, http запросы пойдут по земле, а там нужен спутниковый инет (для этого и VPN подключение)
Накидал бы ты схемку в ascii - что у тебя и как
>Накидал бы ты схемку в ascii - что у тебя и как
>СПУТНИК
DVB карта VPN
| /----------
| /
| /
--------- ------------ ------------- ----------
| MAIL | |FIREWALL | |DVB | |ROUTER |
| |----| |------|router |-----| |-----INTERNET
| | | | |Linux | | |
--------- ------------ ------------- ----------
|
|
|
LAN
СПУТНИК
DVB карта VPN
| /----------
| /
| /
--------- ------------ ------------- ----------
| MAIL | |FIREWALL | |DVB | |ROUTER |
| |----| |------|router |-----| |--INET
| | | | |Linux | | |
--------- ------------ ------------- ----------
|
|
|
LAN
VPN
_______
/
/
MAIL----FIREWALL----DVB ROUTER----ROUTER-----INTERNET
| LINUX
|
LAN
наглядность - великое дело!
может mail вынести за firewall, ибо пакеты приходящие на linux и направляющиеся хз куда - всегда пойдут по умолчанию
либо делать туннель от mail к DVB ROUTER т.е. пакеты туннеля по любому пойдут к DVB ROUTER, а пакеты от mail за DVB ROUTER ибо теперь им и знать не надо поднят vpn или нет
попробуй это осмыслить...
Первый вариант исключен (так хотят хозяева по соображениям секьюрности, из-за этого же не могу занести DVB за файрволл). Второй вариант можно обдумать, спасибо за совет, но все таки - реально ли настроить роутинг по порту назначения? (Как скажем в iproute2 по хосту).
Чего то я это не мог принять идеологически(ну я прям Суслов :-)!)
Хотя я помню, что пакеты должны выбирать роутер с меньшей "ценой" по дороге до цели (т.е. с меньшим количеством хопов - проходов через маршрутизаторы)
Если чем-то можно менять "ценность" ppp0 и eth0 может и получится, но я опять же не могу представить как это сделать для одного порта
Возможно решение на поверности - просто надо почитать про tcp/ip ещё глубже.
Кстати о секурности.
майлсервак наружу за файервол, ещё один туннель до него,
все сервисы кроме МТА порезать нахер
МТА напрямую принимает/отправляет почту а читать её можно внутри того же туннеля
(привязать pop/imap к внутреннему ip туннеля)
Вроде как всё
Теперь могут ломать МТА или тоннель. МТА подбираешь "неломкий", тоннель от спуфинга защишаешь натом
И вроде как остаётся только DoS, ну а тут уж...
>реально ли настроить роутинг по
>порту назначения? (Как скажем в iproute2 по хосту).
iptables -j MARK + iproute fwmark
Может, все-таки что-то неправильно делаешь? Может, конфиги и результат покажешь :-) ?