URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 32855
[ Назад ]

Исходное сообщение
"Разделение на виртуальные подсети"
Отправлено Valerich , 29-Июл-03 15:40

Есть локалка 192.168.0.1/24 доступ в Инет через шлюз на RedHat (8.3, ядро 2.4.18)
NAT и фильтрация реализованы через iptables
Теперь надоть разделить локалку на подсети для организаций. Фишка в том, что доступ в Инет должен быть у всех, а доступ в соседние подсети - ни у кого.
Можно ли как-нибудь это сделать не добавляя огромное количество правил в iptables
iptables -t filter -A FORWARD -d ! 192.168.1.1/24 -s 192.168.1.1/24 -j REJECT будет просто отбивать весь траффик. А мне нужно оставить интернетовский. Подсетей будет порядка 20, так что прописывать
iptables -t filter -A FORWARD -d ! 192.168.1.1/24 -s 192.168.2.1/24 -j REJECT
iptables -t filter -A FORWARD -d ! 192.168.1.1/24 -s 192.168.3.1/24 -j REJECT
.... и т.д. не хотелось бы.
К тому же не знаю, как такое увеличение числа правил скажется на производительности шлюза (на нем еще и почта висит и Апач и довольно загруженная БД).
Что посоветуете?

Содержание

Разделение на виртуальные подсети,KsI_korobanov, 15:14 , 30-Июл-03
- Разделение на виртуальные подсети,Valerich, 15:22 , 30-Июл-03
  - Разделение на виртуальные подсети,KsI_korobanov, 15:37 , 30-Июл-03

Сообщения в этом обсуждении

"Разделение на виртуальные подсети"
Отправлено KsI_korobanov , 30-Июл-03 15:14

>Есть локалка 192.168.0.1/24 доступ в Инет через шлюз на RedHat (8.3, ядро
>2.4.18)
>NAT и фильтрация реализованы через iptables
>
>Теперь надоть разделить локалку на подсети для организаций. Фишка в том, что
>доступ в Инет должен быть у всех, а доступ в соседние
>подсети - ни у кого.
>
>Можно ли как-нибудь это сделать не добавляя огромное количество правил в iptables
>
>iptables -t filter -A FORWARD -d ! 192.168.1.1/24 -s 192.168.1.1/24 -j REJECT
>будет просто отбивать весь траффик. А мне нужно оставить интернетовский. Подсетей
>будет порядка 20, так что прописывать
>iptables -t filter -A FORWARD -d ! 192.168.1.1/24 -s 192.168.2.1/24 -j REJECT
>
>iptables -t filter -A FORWARD -d ! 192.168.1.1/24 -s 192.168.3.1/24 -j REJECT
>
>.... и т.д. не хотелось бы.
>К тому же не знаю, как такое увеличение числа правил скажется на
>производительности шлюза (на нем еще и почта висит и Апач и
>довольно загруженная БД).
>
>Что посоветуете?

1. Физически разделяй локалки.
2. добавь сетевуху с ip 192.168.2.1/24 в шлюз
3. соедени ее со второй локалкой и поднастрой таблицы.
4. Какого Х. почта Апач и БД делают на маршрутизаторе? а не в DMZ неужели начальство жмет деньги?
5. Производительность зависит от шлюза. Если у тебя на этом добре 2 хеона то забей на уменьшение производительности. А если это 100 P-1 то маскарад тормозить будет.
Но лучше стряси с начальства деньги за новый шлюз. И сними шлюзование с сервера!
Если 20 подсетей,
Тогда стряси деньги на каталист и цисковский маршрутизатор.
Всех в разные vlan и маршрутизировать.
а если все в разных сетях в тупых хаблах толпиться будут, а на сетевухе 20 алиасов :)))) то ни к чему хорошему это не приведет.

"Разделение на виртуальные подсети"
Отправлено Valerich , 30-Июл-03 15:22

>Но лучше стряси с начальства деньги за новый шлюз. И сними шлюзование
>с сервера!
>Если 20 подсетей,
>Тогда стряси деньги на каталист и цисковский маршрутизатор.
>Всех в разные vlan и маршрутизировать.
>а если все в разных сетях в тупых хаблах толпиться будут, а
>на сетевухе 20 алиасов :)))) то ни к чему хорошему это
>не приведет.
Начальство жмется, как девственница под байкером. 30 баксов на замену полудохлого хаба на свитч приходится вышибать, как при штурме Измаила.
Если бы были бабки на каталист и маршрутизатор, я бы вообще не спрашивал.
К счастью, у меня в локалке только свичи стоят. Хабы я перевел в пятую категорию, списал и уничтожил лично.
Денег на дополнительный комп не дают тем более. Дали списанный Селерон, страдающий маразмом от старости. Буду пытаться перевести на него серваки.

"Разделение на виртуальные подсети"
Отправлено KsI_korobanov , 30-Июл-03 15:37

>>Но лучше стряси с начальства деньги за новый шлюз. И сними шлюзование
>>с сервера!
>>Если 20 подсетей,
>>Тогда стряси деньги на каталист и цисковский маршрутизатор.
>>Всех в разные vlan и маршрутизировать.
>>а если все в разных сетях в тупых хаблах толпиться будут, а
>>на сетевухе 20 алиасов :)))) то ни к чему хорошему это
>>не приведет.
>
>Начальство жмется, как девственница под байкером. 30 баксов на замену полудохлого хаба
>на свитч приходится вышибать, как при штурме Измаила.
>Если бы были бабки на каталист и маршрутизатор, я бы вообще не
>спрашивал.
>К счастью, у меня в локалке только свичи стоят. Хабы я перевел
>в пятую категорию, списал и уничтожил лично.
>
>Денег на дополнительный комп не дают тем более. Дали списанный Селерон, страдающий
>маразмом от старости. Буду пытаться перевести на него серваки.
Земля пусть вашей сетке будет пухом...
Тогда вешай кучу алиасов.
регардсов!