форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"FreeBSD с двуми сетевыми картами"
Сообщение от zeiter (ok) on 19-Авг-05, 12:34  (MSK)
В локалке стоит сервер под FreeBSD с двуми сетевыми картами 1) Он не будет использоваться как шлюз и роутер. Т.е. через него юзеры не должны получить доступ в Инет 2) Сервер виден из Интернета по внешнему IP 3) Сервер виден из Локалки по внутренему IP Задача: Дать пользователям локалки возможность получить доступ к серверу по его внешнему IP. Т.е. если у нас есть доменное имя domain.ru, которое соотнесено с внешним IP-адресом этого сервера, то пользователи могли бы получить доступ к нему свободно по этому же доменному имени! Ядро скомпилировано с: # FW Options options IPFIREWALL options IPFIREWALL_VERBOSE options IPFIREWALL_FORWARD options IPFIREWALL_VERBOSE_LIMIT=100 options IPFIREWALL_DEFAULT_TO_ACCEPT options IPDIVERT options IPFILTER options DUMMYNET т.е. # ipfw list 65535 allow ip from any to any ************************************ rc.conf gateway_enable="YES" defaultrouter="217.117.xxx.xx1" ifconfig_rl0="inet 192.168.yyy.yy2 netmask 255.255.224.0" ifconfig_rl1="inet 217.117.xxx.xx2 netmask 255.255.255.252" static_routes="subnet1 subnet2" route_subnet1="-net 192.168.yyy.0/255.255.224.0 192.168.yyy.yy1" route_subnet2="-net 217.117.xxx.0/255.255.255.252 217.117.xxx.xx1"
	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "FreeBSD с двуми сетевыми картами"
Сообщение от YuryD (ok) on 19-Авг-05, 12:41  (MSK)
>Задача: > >Дать пользователям локалки возможность получить доступ к серверу по его внешнему IP. >gateway_enable="YES" gateway_enable="NO" static_routes="" И все остальное пойдет через иной шлюз в инет, т.е. 192.168.yyy пойдет по локалке, а на внешний пойдет по другому каналу, возможно и через сервер вышестоящего провайдера :-)
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "FreeBSD с двуми сетевыми картами"
	Сообщение от zeiter (ok) on 19-Авг-05, 13:29  (MSK)
	Позвонил сисадмину.... про Source Routing я узанл из третих лиц... поэтому возникло недопонимание. Как сейчас выяснилось, нужно написать просто заявление на имя директора компании, которая локалку держит.... они откроют доступ к внешнему интерфейсу. Вроде так. А Source Routing все равно нужно применить и настроить. Вроде как против спуфинга....
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "FreeBSD с двуми сетевыми картами"
Сообщение от antoshkin (ok) on 19-Авг-05, 12:44  (MSK)
gateway_enable=No статические маршруты - зачем? И настраивай файрвол - статей по этому поводу масса. Закрыть всё, оставить только то, что нужно юзерам. Но задача сформулирована как-то туманно. Им нужно из-вне на него ходить? - проблем нет, будут ходить. Или из локалки, но по внешнему айпи-адресу? А нафига?
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "FreeBSD с двуми сетевыми картами"
	Сообщение от zeiter (ok) on 19-Авг-05, 12:50  (MSK)
	>Но задача сформулирована как-то туманно. Им нужно из-вне на него ходить? - >проблем нет, будут ходить. >Или из локалки, но по внешнему айпи-адресу? А нафига? Стоит веб-сервер, на котором висят пользовательские сайты с реальными(!) доменными именами. Просто нужно открыть к нему доступ из локалки, проще говоря.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "FreeBSD с двуми сетевыми картами"
	Сообщение от YuryD (ok) on 19-Авг-05, 12:57  (MSK)
	>Стоит веб-сервер, на котором висят пользовательские сайты с реальными(!) доменными именами. Просто >нужно открыть к нему доступ из локалки, проще говоря. Так это проблема клиентов локалки, добавляйте им static route всех реальных IP сервера  на 192.168.yyy , и оставьте ваш первоначальный конфиг
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "FreeBSD с двуми сетевыми картами"
	Сообщение от zeiter (ok) on 19-Авг-05, 12:58  (MSK)
	> Так это проблема клиентов локалки, добавляйте им static route > всех реальных IP сервера  на 192.168.yyy , и оставьте ваш >первоначальный конфиг Сисадмин локалки возлажил эту задачу на меня, сказав, что нужно настроить на сервере Source Routing и все дела... Я уже 3 сутки с этим разбираюсь, но продвинулся не на много
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "FreeBSD с двуми сетевыми картами"
	Сообщение от YuryD (ok) on 19-Авг-05, 13:00  (MSK)
	> >Сисадмин локалки возлажил эту задачу на меня, сказав, что нужно настроить на >сервере Source Routing и все дела... здец, как ты можешь настроить source route на компе, через который траффик не идет ?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "FreeBSD с двуми сетевыми картами"
	Сообщение от zeiter (ok) on 19-Авг-05, 13:06  (MSK)
	> здец, как ты можешь настроить source route на компе, через который >траффик не идет ? Т.е. никаких других вариантов нет? Как то, чтобы пользователям прописать статические машруты?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "FreeBSD с двуми сетевыми картами"
	Сообщение от YuryD (ok) on 19-Авг-05, 13:11  (MSK)
	>> здец, как ты можешь настроить source route на компе, через который >>траффик не идет ? > >Т.е. никаких других вариантов нет? Как то, чтобы пользователям прописать статические машруты? >   Масса, написать *.bat с командами route add  и разослать локальшикам   чтоб выполнили втихую Поднять на этом компе proxy  привязанный на 192.168.yyy и сообщить юзерам. Т.е. он свои IP увидит локально, а все осталное погонит на 192.168.yyyy т.е. через основной канал
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "FreeBSD с двуми сетевыми картами"
	Сообщение от djaarf (??) on 19-Авг-05, 13:15  (MSK)
	>> здец, как ты можешь настроить source route на компе, через который >>траффик не идет ? > >Т.е. никаких других вариантов нет? Как то, чтобы пользователям прописать статические машруты? > На шлюзе сделать редирект на твой веб. ваще этим должен админ сети заниматься, иначе это превратится в изобретение велосипедов
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "FreeBSD с двуми сетевыми картами"
	Сообщение от zeiter (ok) on 19-Авг-05, 13:55  (MSK)
	Позвонил сисадмину.... про Source Routing я узанл из третих лиц... поэтому возникло недопонимание. Как сейчас выяснилось, нужно написать просто заявление на имя директора компании, которая локалку держит.... они откроют доступ к внешнему интерфейсу. Вроде так. А Source Routing все равно нужно применить и настроить. Вроде как против спуфинга....
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "FreeBSD с двуми сетевыми картами"
	Сообщение от YuryD (ok) on 19-Авг-05, 14:05  (MSK)
	>А Source Routing все равно нужно применить и настроить. Вроде как против >спуфинга.... Откуда и зачем он там нужен ? только в случае если в локалке не одна сеть, но из конфигов этого не видно. Надо просто на шлюзе в инет этой локалки прописать статические маршруты на 192.168.yyy
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "FreeBSD с двуми сетевыми картами"
	Сообщение от antoshkin (ok) on 19-Авг-05, 16:07  (MSK)
	>>А Source Routing все равно нужно применить и настроить. Вроде как против >>спуфинга.... > > Откуда и зачем он там нужен ? только в случае если >в локалке не одна сеть, > но из конфигов этого не видно. Надо просто на шлюзе в >инет этой локалки > прописать статические маршруты на 192.168.yyy Опишу как это сделано у меня. Стоит шлюз, две карты, одна в локалку, вторая в интернет. На шлюзе стоит веб-сервер. Извне он доступен по имени (например domain.ru, зону держит провайдер). На этом же шлюзе стоит ДНС, который отвечает только в локалку, и у которого прописана праймари зона domain.ru, но указывающая на серый адрес (192.168.0.1) внутренней карты. Таким образом и локалка, и интернет свободно обращаются к web-серверу, только с разных сторон.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "FreeBSD с двуми сетевыми картами"
	Сообщение от YuryD (ok) on 19-Авг-05, 16:17  (MSK)
	>Опишу как это сделано у меня. >Стоит шлюз, две карты, одна в локалку, вторая в интернет. >На шлюзе стоит веб-сервер. Извне он доступен по имени (например domain.ru, По условию задачи у него не шлюз
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	15. "FreeBSD с двуми сетевыми картами"
	Сообщение от Brainbug (ok) on 19-Авг-05, 17:14  (MSK)
	>>Опишу как это сделано у меня. >>Стоит шлюз, две карты, одна в локалку, вторая в интернет. >>На шлюзе стоит веб-сервер. Извне он доступен по имени (например domain.ru, > > По условию задачи у него не шлюз v vi6e opisannom slu4aje eto ne vazno 6luz un nego ili net. DNS jest, on otve4ajet, zna4it vse rabotajet.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	16. "FreeBSD с двуми сетевыми картами"
	Сообщение от zeiter (??) on 21-Авг-05, 15:21  (MSK)
	ДНС - это конечно хорошо! Но не выход. Т.к. возможен в будущем рост количества веб сайтов на самом сервере. Администрация сети не позволяет использовать реальные имена доменов на локальных IP адресах. Локальная сеть состоит из различных сегментов. В сегменте, где стоит этот Веб-Сервер юзеров больше 500 человек.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	17. "FreeBSD с двуми сетевыми картами"
	Сообщение от Sergey (??) on 22-Авг-05, 00:12  (MSK)
	На счет ДНС тебе дело предложили. Договорись с админом вашего шлюза пусть делегирует тебе зону domain.ru которая будет отвечать только для твоей локалки а в зоне ты уже будеш давать соответсвия какие захочеш. Это будет выглядеть типа named.conf: acl my_net {      192.168.0.0/16;           }; zone "domain.ru" {         type master;         file "domain.name";         allow-query { my_net; };         allow-transfer { my_net; }; }; zone "168.192.IN-ADDR.ARPA" {         type master;         file "domain.rev";         allow-query { my_net; };         allow-transfer { my_net; }; }; domain.name : $TTL 86400 @       86400   IN      SOA     domain.ru.        root.domain.ru.                                 20050628        ;serial                                 28800           ;refresh 2 hours                                 7200            ;retry, 30 min                                 604800          ;expire 2 week                                 86400 )         ;minimum 2 hours                 IN      NS      domain.ru.                 IN      A       192.168.x.x www             IN      CNAME   domain.ru. запросы к днсу, пользователей твоей локалки при обрашении на domain.ru, будут перенаправлены на твой днс котрый будет сообщать им что IP у www.domain.ru 192.168.x.x (). И дело в шляпе :)
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	18. "FreeBSD с двуми сетевыми картами"
	Сообщение от Brainbug (ok) on 22-Авг-05, 10:03  (MSK)
	>ДНС - это конечно хорошо! Но не выход. Т.к. возможен в будущем >рост количества веб сайтов на самом сервере. > >Администрация сети не позволяет использовать реальные имена доменов на локальных IP адресах. > > >Локальная сеть состоит из различных сегментов. В сегменте, где стоит этот Веб-Сервер >юзеров больше 500 человек. 1. "рост количества веб сайтов" - slabo ulavlivaju svaz s rostom kolli4estva saitov. Jesli tolko re4 ne idet i vnesenii e6e odnoi zoni ili A i PTR zapisi i perezagruzki zoni, 4to sostavlajet 5 min raboti. I snova vse rabotajet. 2. "реальные имена доменов на локальных IP адресах" - tak ispolzuja view oni budut kak na lokalnih tak i na vhe6nih. Ne vizu obosnovannoi pri4ini takogo zapreta. Ibjasni jesli ona jest ?! 3. "В сегменте, где стоит этот Веб-Сервер юзеров больше 500 человек" - v dannom slu4aje gde problema ? Daze jesli ispolzujetca neskolko segmentov i vse oni v raznih podsetah 4to me6ajet ukazat vse podseti dla view parametra ?! I opjat vse prekrasno rabotajet. 4. V dannom slu4aje vse upravlenije nahoditca v odnoi to4ke i klientam ni komu drugomu ni4ego menjat ne nado. Logika seti ostajetca kak bila, mar6ruti tozhe. Lubije izmenenija mogut vneseni odnim 4elovekom i on za eto otve4ajet.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	19. "FreeBSD с двуми сетевыми картами"
	Сообщение от zeiter (ok) on 23-Авг-05, 06:14  (MSK)
	Хорошо с DNS понятно, это действительно решение хорошее, но немного не то, что хотелось бы. Т.е. его я буду использовать, но не во всех случаях. Спасибо за совет :) Но все же меня мучает вопрос: Почему внешний интерфейс недоступен из локалки? Если сервер с прозщрачным FireWall'ом и двумя сетевыми картами: 192.168.х.х 217.117.у.у Видит сеть! А его по внешнему адресу из сети не видно. Может дело в CISCO в которые воткнуты кабеля от обоих интерфейсов?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	20. "FreeBSD с двуми сетевыми картами"
	Сообщение от Brainbug (ok) on 23-Авг-05, 11:31  (MSK)
	>Хорошо с DNS понятно, это действительно решение хорошее, но немного не то, >что хотелось бы. Т.е. его я буду использовать, но не во >всех случаях. >Спасибо за совет :) > >Но все же меня мучает вопрос: Почему внешний интерфейс недоступен из локалки? > > >Если сервер с прозщрачным FireWall'ом и двумя сетевыми картами: >192.168.х.х >217.117.у.у >Видит сеть! А его по внешнему адресу из сети не видно. > >Может дело в CISCO в которые воткнуты кабеля от обоих интерфейсов? Berem za na4alnuju konfiguraciju tu, kotoraja dana v 1 poste: rc.conf gateway_enable="YES" defaultrouter="217.117.xxx.xx1" ifconfig_rl0="inet 192.168.yyy.yy2 netmask 255.255.224.0" ifconfig_rl1="inet 217.117.xxx.xx2 netmask 255.255.255.252" static_routes="subnet1 subnet2" route_subnet1="-net 192.168.yyy.0/255.255.224.0 192.168.yyy.yy1" route_subnet2="-net 217.117.xxx.0/255.255.255.252 217.117.xxx.xx1" route_subnet2 stati4eskij mar6rut deistvitelno ne nuzen t.k. na interfeise uzhe stoit adres iz dannoi seti a posemu avtomati4eski dobavlajetca mar6rut v etu set. gateway_enable="NO" - jesli ne predpologajetca dnat 4erez nego trafik. Posemu ustanovitca net.inet.ip.forwarding==0 i peresilka paketov mezdu interfeisami budet zapre6ena. defaultrouter="217.117.xxx.xx1" - t.e. dobavitca default route so zna4enijem 217.117.xxx.xx1. ifconfig_rl0="inet 192.168.yyy.yy2 netmask 255.255.224.0" ifconfig_rl1="inet 217.117.xxx.xx2 netmask 255.255.255.252"  - sootvetstvennije adresa na intefeisah. Sudja po route_subnet1="-net 192.168.yyy.0/255.255.224.0 192.168.yyy.yy1", to 6luz po umol4aniju dla klientov mozet bit 192.168.yyy.yy1 host. Polu4ajem, 4to prostoi klient, imeja default route u sebja 192.168.yyy.yy1 posilajet vse paketi emu (jesli net dopolnitelnih statis routes na stancijah). Sootvetstvenno paketi dla 217.117.xxx.xx2 butu idti na 192.168.yyy.yy1. 4to on s mini dal6e delajet ja ponatija ne imeju. Jesli provaidet u sebja vo vnutrennei seti razre6ajet mar6rutizirovatj 192.168 adresa, togda na 192.168.yyy.yy1 stavim mar6rut do 217.117.xxx.xx2 4erez 217.117.xxx.xx1, na kotorom opjat takije jest mar6rut do 192.168 seti. Jesli takaja mar6rutizacija ne razre6ena, togda libo NAT, libo, kak uzhe pisalos, stati4eskije mar6ruti dla klientov. Moze6 prostavitj stati4eskije mar6ruti dla klientov na host 217.117.xxx.xx2 4erez 192.168.yyy.yy2 +  gateway_enable="YES" + ipfw (dla dostupa tolko k 217.117.xxx.xx2 adresu).
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	21. "FreeBSD с двуми сетевыми картами"
	Сообщение от Av (ok) on 23-Авг-05, 14:14  (MSK)
	Пудреж мозгов, короче: машины из локалки не видят внешний айпи, потому как не знают где его искать, что б знали надо на этих машинах прописать маршрут к этому адресу, можно даже по умолчанию. forwarding здесь не причем - c ним/без него будет видно внешний ip.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	22. "FreeBSD с двуми сетевыми картами"
	Сообщение от Brainbug (ok) on 23-Авг-05, 15:05  (MSK)
	>Пудреж мозгов, короче: > >машины из локалки не видят внешний айпи, потому как не знают где >его искать, что б знали надо на этих машинах прописать маршрут >к этому адресу, можно даже по умолчанию. forwarding здесь не причем >- c ним/без него будет видно внешний ip. Da posipaju golovu peplom, s forwardingom oplo6al. Togda vse e6e pro6e. Ne dumaju 4to menjat 4to-to na kliente - jest samij lu46ij vihod. Togda stavim stati4eskij mar6rut na default gw, kotorij ukazan u klientov leduju6ij: host 217.117.xxx.xx2 posilat na 192.168.yyy.yy2 i vse. vse problemi re6eni.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.