форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Разделение на виртуальные подсети"
Сообщение от Valerich on 29-Июл-03, 15:40  (MSK)
Есть локалка 192.168.0.1/24 доступ в Инет через шлюз на RedHat (8.3, ядро 2.4.18) NAT и фильтрация реализованы через iptables Теперь надоть разделить локалку на подсети для организаций. Фишка в том, что доступ в Инет должен быть у всех, а доступ в соседние подсети - ни у кого. Можно ли как-нибудь это сделать не добавляя огромное количество правил в iptables iptables -t filter -A FORWARD -d ! 192.168.1.1/24 -s 192.168.1.1/24 -j REJECT будет просто отбивать весь траффик. А мне нужно оставить интернетовский. Подсетей будет порядка 20, так что прописывать iptables -t filter -A FORWARD -d ! 192.168.1.1/24 -s 192.168.2.1/24 -j REJECT iptables -t filter -A FORWARD -d ! 192.168.1.1/24 -s 192.168.3.1/24 -j REJECT .... и т.д. не хотелось бы. К тому же не знаю, как такое увеличение числа правил скажется на производительности шлюза (на нем еще и почта висит и Апач и довольно загруженная БД). Что посоветуете?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Разделение на виртуальные подсети"
Сообщение от KsI_korobanov on 30-Июл-03, 15:14  (MSK)
>Есть локалка 192.168.0.1/24 доступ в Инет через шлюз на RedHat (8.3, ядро >2.4.18) >NAT и фильтрация реализованы через iptables > >Теперь надоть разделить локалку на подсети для организаций. Фишка в том, что >доступ в Инет должен быть у всех, а доступ в соседние >подсети - ни у кого. > >Можно ли как-нибудь это сделать не добавляя огромное количество правил в iptables > >iptables -t filter -A FORWARD -d ! 192.168.1.1/24 -s 192.168.1.1/24 -j REJECT >будет просто отбивать весь траффик. А мне нужно оставить интернетовский. Подсетей >будет порядка 20, так что прописывать >iptables -t filter -A FORWARD -d ! 192.168.1.1/24 -s 192.168.2.1/24 -j REJECT > >iptables -t filter -A FORWARD -d ! 192.168.1.1/24 -s 192.168.3.1/24 -j REJECT > >.... и т.д. не хотелось бы. >К тому же не знаю, как такое увеличение числа правил скажется на >производительности шлюза (на нем еще и почта висит и Апач и >довольно загруженная БД). > >Что посоветуете? 1. Физически разделяй локалки. 2. добавь сетевуху с ip 192.168.2.1/24 в шлюз 3. соедени ее со второй локалкой и поднастрой таблицы. 4. Какого Х. почта Апач и БД делают на маршрутизаторе? а не в DMZ неужели начальство жмет деньги? 5. Производительность зависит от шлюза. Если у тебя на этом добре 2 хеона то забей на уменьшение производительности. А если это 100 P-1 то маскарад тормозить будет. Но лучше стряси с начальства деньги за новый шлюз. И сними шлюзование с сервера! Если 20 подсетей, Тогда стряси деньги на каталист и цисковский маршрутизатор. Всех в разные vlan и маршрутизировать. а если все в разных сетях в тупых хаблах толпиться будут, а на сетевухе 20 алиасов :)))) то ни к чему хорошему это не приведет.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Разделение на виртуальные подсети"
	Сообщение от Valerich on 30-Июл-03, 15:22  (MSK)
	>Но лучше стряси с начальства деньги за новый шлюз. И сними шлюзование >с сервера! >Если 20 подсетей, >Тогда стряси деньги на каталист и цисковский маршрутизатор. >Всех в разные vlan и маршрутизировать. >а если все в разных сетях в тупых хаблах толпиться будут, а >на сетевухе 20 алиасов :)))) то ни к чему хорошему это >не приведет. Начальство жмется, как девственница под байкером. 30 баксов на замену полудохлого хаба на свитч приходится вышибать, как при штурме Измаила. Если бы были бабки на каталист и маршрутизатор, я бы вообще не спрашивал. К счастью, у меня в локалке только свичи стоят. Хабы я перевел в пятую категорию, списал и уничтожил лично. Денег на дополнительный комп не дают тем более. Дали списанный Селерон, страдающий маразмом от старости. Буду пытаться перевести на него серваки.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Разделение на виртуальные подсети"
	Сообщение от KsI_korobanov on 30-Июл-03, 15:37  (MSK)
	>>Но лучше стряси с начальства деньги за новый шлюз. И сними шлюзование >>с сервера! >>Если 20 подсетей, >>Тогда стряси деньги на каталист и цисковский маршрутизатор. >>Всех в разные vlan и маршрутизировать. >>а если все в разных сетях в тупых хаблах толпиться будут, а >>на сетевухе 20 алиасов :)))) то ни к чему хорошему это >>не приведет. > >Начальство жмется, как девственница под байкером. 30 баксов на замену полудохлого хаба >на свитч приходится вышибать, как при штурме Измаила. >Если бы были бабки на каталист и маршрутизатор, я бы вообще не >спрашивал. >К счастью, у меня в локалке только свичи стоят. Хабы я перевел >в пятую категорию, списал и уничтожил лично. > >Денег на дополнительный комп не дают тем более. Дали списанный Селерон, страдающий >маразмом от старости. Буду пытаться перевести на него серваки. Земля пусть вашей сетке будет пухом... Тогда вешай кучу алиасов. регардсов!
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.