Есть сеть, получил по наследству :)Сеть построена на базе управляемых свичей AT8024 в свиче есть возможность указать дефолтовый шлюз, за чем спрашиваю, нужно весь трафик передавать на одну машину которая выходит в большой мир.
Проблемка в том что в сеть воткнут роутер провайдер для радио интернета, он имеет внутренний адрес и он мной не управляется, рулит им провайдер, соответсвенно введя адрес роутера можно выходить в нет в обход сквида, фаервола... короче беспредел. Хочу этот вопрос решить, такие есть мысли...
1. воткнуть роутер провайдер в шлюзовой сервак, закрить это дело в шкафчике ополомбировать, но в шкафчике еще есть сервера, так что не очень хорошо, кроме этого есть другой админ который може туда руки сунуть, тоесть могут быть проблемы, поэтому обдумываю другой варинт.
2. задать на свиче дефолтовый шлюз на мой сервер в который буте воткнут роутер, но вроде это ничего не даст как я понял немного погуглив...
Подскажите как это возможно сделать, еще будет привязка мак-адресов к портам, но это другой вопрос.
В данном случае просто необходимо воткнуть какую-то подконтрольную Вам умную железку между юзерами и роутером прова, а дальше дело техники. От другого админа ничего не спасет, если у него будет физический доступ ко всему оборудованию.Почему не сработает второй вариант, ведь таким образом можно закрыть на iptables весь прямой трафик от несервера к роутеру?..
>В данном случае просто необходимо воткнуть какую-то подконтрольную Вам умную железку между
>юзерами и роутером прова, а дальше дело техники. От другого админа
>ничего не спасет, если у него будет физический доступ ко всему
>оборудованию.
>
>Почему не сработает второй вариант, ведь таким образом можно закрыть на iptables
>весь прямой трафик от несервера к роутеру?..Так вот и спрашиваю, если на свичах указать шлюз на мой GATE то при отключении этого сервера отрубается выход в нет? Если да тогда это выход, сейчас установил пароли на свичах, и доступа к ним другому админу не будет, не его это задачи.
> Так вот и спрашиваю, если на свичах указать шлюз на мой GATE то при отключении этого сервера отрубается выход в нет?Естественно будет отрубаться, если сервер отключается и никакие сервисы и файрволл не работает, то инет если и будет работать, то бесконтрольно - кому это надо? Если нужна отказоустойчивость то придется ставить избыточный сервер либо поднимать систему интеллектуальных свечек с использованием spanning tree и подобных технологий, но это будет недешево...
>Если да тогда это выход, сейчас установил пароли на свичах, и доступа к ним другому админу не будет, не его это задачи.
Я о том что при физическом доступе админ может принести свои свечки и переткнуть все по-своему.
>[оверквотинг удален]
>Естественно будет отрубаться, если сервер отключается и никакие сервисы и файрволл не
>работает, то инет если и будет работать, то бесконтрольно - кому
>это надо? Если нужна отказоустойчивость то придется ставить избыточный сервер либо
>поднимать систему интеллектуальных свечек с использованием spanning tree и подобных технологий,
>но это будет недешево...
>
>>Если да тогда это выход, сейчас установил пароли на свичах, и доступа к ним другому админу не будет, не его это задачи.
>
>Я о том что при физическом доступе админ может принести свои свечки
>и переткнуть все по-своему.spanning tree имеющиеся свичи и сейчас поддерживают но что это даст?
Да нет этого пока навряд будет...
значит план приблизительно такой
1. поднимаем свой сервак GATE в него врубаем роутер провайдера. На серваке натим все в мир
2. на свичах устанавливаем гейт на сервер GATE
3. со временем делаем привязку мак-адресов к портам на свичах
4. по идее на юерских станциях тепер не нужно указывать шлюз по умолчанию?По идее для начала нормально, обход этого всего я вижу только если подключится напрямую к роутеру, да? Если изолировать роутер, то и эта возможность пропадет?
>spanning tree имеющиеся свичи и сейчас поддерживают но что это даст?Это даст автоматический выбор маршрута до провайдера при отключении сервера либо свитча, отвечающего за авторизацию пользователей. Т.е. отказоустойчивость сети, за что боролись
>4. по идее на юерских станциях тепер не нужно указывать шлюз по
>умолчанию?Почему же не нужно, рабочая станция TCP/IP сети разве может работать без шлюза по-умолчанию?
Рекомендую запустить в локальной сети DHCP-протокол и выдавать на основе MAC клиенту его IP, шлюз, сервера имен и т.д.
>По идее для начала нормально, обход этого всего я вижу только если
>подключится напрямую к роутеру, да? Если изолировать роутер, то и эта
>возможность пропадет?При грамотной настройке сервера и использовании стабильного недревнего софта, думаю обойти эту защиту сложно
>Это даст автоматический выбор маршрута до провайдера при отключении сервера либо свитча,
>отвечающего за авторизацию пользователей. Т.е. отказоустойчивость сети, за что боролись
>Ну хорошо, а если на свичах будет привязка к мак-адресам то роутер уже в свич не втыкнуть,
тогда остается только напрямую в комп и только тогда в нет, это я о том другом админе говорю :)>>4. по идее на юерских станциях тепер не нужно указывать шлюз по
>>умолчанию?
>
>Почему же не нужно, рабочая станция TCP/IP сети разве может работать без
>шлюза по-умолчанию?
>Ну впринципе да... не может ;)
>Рекомендую запустить в локальной сети DHCP-протокол и выдавать на основе MAC клиенту
>его IP, шлюз, сервера имен и т.д.
>Да это я тоже хочу сделать.
>>По идее для начала нормально, обход этого всего я вижу только если
>>подключится напрямую к роутеру, да? Если изолировать роутер, то и эта
>>возможность пропадет?
>
>При грамотной настройке сервера и использовании стабильного недревнего софта, думаю обойти эту защиту сложноНу спасибо, значит так и будем делать, а то сидел и думал как это сделать...
дефолтовый шлюз на коммутаторе прописывается для управления коммутатором по IP но ни как не для коммутации пакетов на этот шлюзесли вы хотите сделать, чтобы трафик шел через одну машину с проксей, то пусть эта машина и будет вашим шлюзом во внутренней сети, а шлюз провайдера будет для этой машины-прокси шлюзом поумолчанию
>дефолтовый шлюз на коммутаторе прописывается для управления коммутатором по IP но ни
>как не для коммутации пакетов на этот шлюз
>Сейчас у меня на свичах не прописан шлюз по умолчанию и я могу на свичи заходить через сеть.
>если вы хотите сделать, чтобы трафик шел через одну машину с проксей,
>то пусть эта машина и будет вашим шлюзом во внутренней сети,
>а шлюз провайдера будет для этой машины-прокси шлюзом поумолчаниюЯ так и хочу сделать, но на всех свичах в сети прописать шлюзом по умолчанию адрес моего прокси. Я правильно понял?
>>дефолтовый шлюз на коммутаторе прописывается для управления коммутатором по IP но ни
>>как не для коммутации пакетов на этот шлюз
>>
>
>Сейчас у меня на свичах не прописан шлюз по умолчанию и я
>могу на свичи заходить через сеть.предполагаю что вы в одной сети с коммутаторами находитесь, поэтому шлюз и не нужен
>
>>если вы хотите сделать, чтобы трафик шел через одну машину с проксей,
>>то пусть эта машина и будет вашим шлюзом во внутренней сети,
>>а шлюз провайдера будет для этой машины-прокси шлюзом поумолчанию
>
>Я так и хочу сделать, но на всех свичах в сети прописать
>шлюзом по умолчанию адрес моего прокси. Я правильно понял?это бред
>>>дефолтовый шлюз на коммутаторе прописывается для управления коммутатором по IP но ни
>>>как не для коммутации пакетов на этот шлюз
>>>
>>
>>Сейчас у меня на свичах не прописан шлюз по умолчанию и я
>>могу на свичи заходить через сеть.
>
>предполагаю что вы в одной сети с коммутаторами находитесь, поэтому шлюз и
>не нужен
>да в одной, плоская сеть
>>
>>>если вы хотите сделать, чтобы трафик шел через одну машину с проксей,
>>>то пусть эта машина и будет вашим шлюзом во внутренней сети,
>>>а шлюз провайдера будет для этой машины-прокси шлюзом поумолчанию
>>
>>Я так и хочу сделать, но на всех свичах в сети прописать
>>шлюзом по умолчанию адрес моего прокси. Я правильно понял?
>
>это бредхорошо тогда дайте дельный совет, как это сделать, исходя из проблемы
1) отделить радио-маршрутизатор от лок.сети в отдельную сеть
2) соеденить лок.сеть и новую подсеточку маршрутизатором-прокси с двумя интерфейсами
3) скорее всего придется сменить адреса в лок.сети или поиграться с маской тут не знаю так как надо смотреть
4) прописать (а лучше dhcp) всем в качестве шлюза адрес адрес маршрутизатора-прокси
5) поднять нат, файрвол, проксю и т.п.если возникнут вопросы, пишите больше исходных данных
>1) отделить радио-маршрутизатор от лок.сети в отдельную сетьможно но нужно к провайдеру нести
>2) соеденить лок.сеть и новую подсеточку маршрутизатором-прокси с двумя интерфейсами
уже имеем и можно сделать
>3) скорее всего придется сменить адреса в лок.сети или поиграться с маской
ну можно если все по DHCP
>4) прописать (а лучше dhcp) всем в качестве шлюза адрес адрес маршрутизатора-прокси
да реально
>5) поднять нат, файрвол, проксю и т.п.
практически готов
>если возникнут вопросы, пишите больше исходных данных
какие даные нужно?
Впринципе загвоздка в №1 но если поменять на локальной машине на подесть роутера то в мир всеравно выйдем... а это плохо....
>>Я так и хочу сделать, но на всех свичах в сети прописать
>>шлюзом по умолчанию адрес моего прокси. Я правильно понял?
>
>это бредНасколько я понял, мы имеем что-то вроде внутренней подсети 10.1.0.1/16, за каждой из свечек скажем 10.1.x.0/24 подсеть, внутренний интерфейс сервера с проксей и файрволлом 10.1.0.1, на всех свечках 10.1.0.1 прописан как шлюз по-умолчанию, выпускающий после авторизации юзеров через маскарад во внешний мир. Где бред?..
мы имеем сеть 10.0.0.0/24
и хотим на коммутаторах прописать шлюз чтоб все ходили только через него
Вы наверно, коллега, даже и представить себе такое не могли :)
Если не убирать роутер провайдера из 10.0.0.0/24 то конечно работать не будет, просто из того что писал топик стартер не следовало что он хочет все-все-все запустить в единой одноранговой сети :)
>>>Я так и хочу сделать, но на всех свичах в сети прописать
>>>шлюзом по умолчанию адрес моего прокси. Я правильно понял?
>>
>>это бред
>
>Насколько я понял, мы имеем что-то вроде внутренней подсети 10.1.0.1/16, за каждой
>из свечек скажем 10.1.x.0/24 подсеть, внутренний интерфейс сервера с проксей и
>файрволлом 10.1.0.1, на всех свечках 10.1.0.1 прописан как шлюз по-умолчанию, выпускающий
>после авторизации юзеров через маскарад во внешний мир. Где бред?..Нет нет :)
Так ребятя видимо я плохо обяснил1. Сеть плоская 192.168.1.0 на нескольких этажах поэтому стоят свичи (хотя это и хорошо если смотреть что нужно будет привязывать мак-адреса по портах)
2. роутер провайдера (1.200 к примеру) включен в сеть через один из свичей %) имеет локальный адрес и внутри видимо все натит в мир, я к нему доступа не имею, нужно выходить на провайдера, если что либо переконфигурировать, это минус!
3. все юзеры ходят через свой шлюз (1.100 к примеру) но админы мення у себя дефолтный шлюз могут ходить и через 1.100 и через 1.200 %)
4. я хочу все это переделать, сделать один прокси сервер и через него, а далее через роуте провадера в мир, вот и возник вопрос как всех загнать на прокси сервер, да так что-бы нелзя было подключить роутер-провайдера в обход прокси-сервера, а это можно если иметь доступ (он как раз есть) и некоторые знания.
теперь вопрос как?
Если не можете сменить подсеть роутера, меняйте свою внутреннюю подсеть :)Т.е. кабель от роутера идет на внешний интерфейс сервера 192.168.1.100/24, а на втором, внутреннем интерфейсе сервера, меняете IP на 192.168.2.100, и раздаете всем клиентам на объекте по DHCP адреса из 192.168.2.0/24, при этом запрещая на сервере ненужную активность из 192.168.2.0/24 в 192.168.1.0/24
Короче по сути то что предлагал ув.Slimm, тут как бы вариантов немного, если специально не усложнять
>Короче по сути то что предлагал ув.Slimm, тут как бы вариантов немного,
>если специально не усложнятьДа понял про разные подсети я не подумал поэтому зацыклился на шлюзах :)))
>Но с подстройкой под сеть роутера для админов проблем не будет, а
>я и этого хочу избежатьЕсли физически они будут подключены из внутренней сети, то никак они под подсеть роутера не подстроятся, это все можно настроить на файрволле сервера. Запрещаете все пакеты из 192.168.1.0 на внутреннем интерфейсе и все!
>>Но с подстройкой под сеть роутера для админов проблем не будет, а
>>я и этого хочу избежать
>
>Если физически они будут подключены из внутренней сети, то никак они под
>подсеть роутера не подстроятся, это все можно настроить на файрволле сервера.
>Запрещаете все пакеты из 192.168.1.0 на внутреннем интерфейсе и все!Да я написал а уже потом подумал %( пятница......
Теперь подумать куда роутер засунуть и закрыть чтоб физического доступа не было....Ну всем спасибо, выбили из неправильной колеи :)
советую прежде чем что либо делать почитать
сказ об ип адресе, сестре маске и сложной их участи - маршрутизациибез этого врядли получиться
>советую прежде чем что либо делать почитать
>сказ об ип адресе, сестре маске и сложной их участи - маршрутизации
>
>
>без этого врядли получитьсяДа спасибо :)
Просто замучен и зацыклился не на том на чем надо :)
>>советую прежде чем что либо делать почитать
>>сказ об ип адресе, сестре маске и сложной их участи - маршрутизации
>>
>>
>>без этого врядли получиться
>
>Да спасибо :)
>Просто замучен и зацыклился не на том на чем надо :)Кароче, курите как рулть 2 канала в инет.
p.s. imho вам надо оба прова кинуть на ваш новый шлюз, сделать прозрачную(через оутгоиг_адрес) проксю на два прова и нат через iptables + ip rule.... и все