форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Информационная безопасность (Разное / Linux)
Изначальное сообщение		[ Отслеживать ]

"Маршрутизация для сети с реальными IP через один шлюз"	+/–
Сообщение от D_Darth (ok) on 14-Окт-10, 15:38
Доброво всем времени... Работаю в универе. Имеется сеть 222.111.111.0/28 реальных IP. На каждом из IP стоит свой сервак для целей отделов(Web,Samba,FTP,torrent). Все хосты в этой сети подключены в один vlan на catalyst, и следовательно видят друг друга. 222.111.111.1 - шлюз провайдера. через него все ходят в инет. 222.111.111.3-10 - сервера отделов 222.111.111.2 - "главный" сервер в котором имеется 3 сетевых интерфеса. eth0 - пока не исп-ся eth1 - 222.111.111.2 - через него ходит в нет eth2 - 1.0.0.2 - вторая подсеть, в ней находятся обычные юзера которые сидят в инете через прокси Squid На этом сервере стоит SQUID, и софт для подсчета трафика (fprobe, flows-tools). Свой трафик считает нормально. Необходимо сделать из этого сервера шлюз, чтобы весь трафик шел через него, и настроить "маршрутизацию" так, чтобы хосты с реальных IP могли ходить в инет, и также с инета можно было бы подключатся к этим хостам по ip/dns(к веб серверам, по ssh, к ftp...) --------------------------------------------------------------------------- Что как мне кажется нужно сделать (ИСПРАВЬТЕ ЕСЛИ ЧТОТО НЕ ТАК) 1. Первым делом кабель от провайдера выдернуть с свича и воткнуть в eth0 :) 2. Дать IP этому интерфейсу (какой? подсеть? свободные ip еще есть) 3. Както настроить чтото похожее на NAT, но только чтобы ip источников/получателей не маскарадились(изменялись)...? Вобщем прошу вашего совета. С чего начать, и как все это дело провернуть. П.С. Главная цель всего этого мероприятие - контроль за использованием трафика этими "серверами", и организация своего рода единого файрвола для всей сети(но это потом).
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Маршрутизация для сети с реальными IP через один шлюз"	+/–
Сообщение от Andrey Mitrofanov on 14-Окт-10, 15:47
> На этом сервере стоит SQUID, и софт для подсчета трафика (fprobe, flows-tools). > Свой трафик считает нормально. > Необходимо сделать из этого сервера шлюз, чтобы весь трафик шел через него, > и настроить "маршрутизацию" так, чтобы хосты с реальных IP могли ходить Я делал "сервер" с двумя интерфейсам "мостом", внешний шлюз включал с одной стороны, др.серверы - с другой и "просто" настраивал iptables. И да, у меня транзитный трафик на мосту фильтровался. Про подсчёт трафика - не скажу. [Шлюз пров.] <-- [eth0: "сервер" :eth1] --> ....локалка с остальными серверами eht0+eth1 -> в мост, собственный ip сервера на мост и т.д.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	2. "Маршрутизация для сети с реальными IP через один шлюз"	+/–
	Сообщение от D_Darth (ok) on 14-Окт-10, 15:53
	> Я делал "сервер" с двумя интерфейсам "мостом", внешний шлюз включал с одной > стороны, др.серверы - с другой и "просто" настраивал iptables. И да, > у меня транзитный трафик на мосту фильтровался. Про подсчёт трафика - > не скажу. > [Шлюз пров.] <-- [eth0: "сервер" :eth1] --> ....локалка с остальными серверами > eht0+eth1 -> в мост, собственный ip сервера на мост и т.д. Если можно, то поподробнее, так как в моем случае я даже не знаю за что зацепится. Про подсчет... думаю и так будет считать если настрою "маршрутизацию"
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Маршрутизация для сети с реальными IP через один шлюз"	+/–
Сообщение от PavelR (??) on 14-Окт-10, 16:45
гугл на тему "lartc proxy_arp" и читаем до просветления. Возможно, вас устроит это решение.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	4. "Маршрутизация для сети с реальными IP через один шлюз"	+/–
	Сообщение от PavelR (??) on 14-Окт-10, 16:46
	> гугл на тему "lartc proxy_arp" > и читаем до просветления. Возможно, вас устроит это решение. а, да - поиск на тему "proxy_arp" без уточнения "lartc" дает другой результат поиска, не менее информативный.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	5. "Маршрутизация для сети с реальными IP через один шлюз"	+/–
	Сообщение от D_Darth (ok) on 14-Окт-10, 16:52
	>> гугл на тему "lartc proxy_arp" >> и читаем до просветления. Возможно, вас устроит это решение. > а, да - поиск на тему "proxy_arp" без уточнения "lartc" дает другой > результат поиска, не менее информативный. Не сразу понял что имелось ввиду, теперь понял. Завтра попробую.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Маршрутизация для сети с реальными IP через один шлюз"	+/–
Сообщение от D_Darth (ok) on 16-Окт-10, 11:26
прочитал про proxy_arp, как я понял - это то что мне нужно. Сделал все как тут http://www.opennet.me/tips/info/923.shtml написано, но пакеты не идут дальше 222.111.111.2. И еще, какой шлюз нужно указывать на тачках которые будут ходить в инет. Я ставил и 222.111.111.1(шлюз пров-ра) и 222.111.111.2(сервак-мост) - безрезультатно. П.С. Заметил такую странность, сидя за этим мостом, у меня пинги в инет не проходят, хотя скайп почемуто показывает список контактов, и также показовал народ который входит и выходит из сети. ---------------------------------------------------------------------------- proxy:~# route Kernel IP routing table Destination     Gateway         Genmask         Flags Metric Ref    Use Iface 222.111.111.1   *               255.255.255.255 UH    0      0        0 eth0 1.0.0.0         *               255.255.255.0   U     0      0        0 eth2 localnet        *               255.255.255.0   U     0      0        0 eth1 default         222.111.111.1   0.0.0.0         UG    0      0        0 eth1 default         222.111.111.1   0.0.0.0         UG    0      0        0 eth0 proxy:~# ------------------------------------------------------------------------------ proxy:~# ifconfig eth0      Link encap:Ethernet  HWaddr 02:1d:60:3f:06:71             inet addr:222.111.111.2  Bcast:222.111.111.255  Mask:255.255.255.0           inet6 addr: fe80::21d:60ff:fe3f:671/64 Scope:Link           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1           RX packets:680362 errors:0 dropped:0 overruns:0 frame:0           TX packets:401896 errors:0 dropped:0 overruns:0 carrier:6           collisions:0 txqueuelen:1000           RX bytes:1016114136 (969.0 MiB)  TX bytes:0 (0.0 B)           Memory:dffc0000-e0000000 eth1      Link encap:Ethernet  HWaddr 02:19:e0:0a:fe:9c             inet addr:222.111.111.2  Bcast:222.111.111.255  Mask:255.255.255.0           inet6 addr: fe80::219:e0ff:fe0a:fe9c/64 Scope:Link           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1           RX packets:147241 errors:0 dropped:0 overruns:0 frame:0           TX packets:80662 errors:0 dropped:0 overruns:0 carrier:0           collisions:0 txqueuelen:1000           RX bytes:189612567 (180.8 MiB)  TX bytes:7981639 (7.6 MiB)           Interrupt:17 Base address:0xc400 eth2      Link encap:Ethernet  HWaddr 02:00:1c:d0:eb:15             inet addr:1.0.0.2  Bcast:1.0.0.255  Mask:255.255.255.0           inet6 addr: fe80::200:1cff:fed0:eb15/64 Scope:Link           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1           RX packets:358503 errors:0 dropped:0 overruns:0 frame:0           TX packets:921221 errors:0 dropped:0 overruns:0 carrier:0           collisions:0 txqueuelen:1000           RX bytes:26345341 (25.1 MiB)  TX bytes:1270601801 (1.1 GiB)           Interrupt:21 Base address:0xc800 lo        Link encap:Local Loopback             inet addr:127.0.0.1  Mask:255.0.0.0           inet6 addr: ::1/128 Scope:Host           UP LOOPBACK RUNNING  MTU:16436  Metric:1           RX packets:741 errors:0 dropped:0 overruns:0 frame:0           TX packets:741 errors:0 dropped:0 overruns:0 carrier:0           collisions:0 txqueuelen:0           RX bytes:172956 (168.9 KiB)  TX bytes:172956 (168.9 KiB) proxy:~#
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "Маршрутизация для сети с реальными IP через один шлюз"	+/–
Сообщение от tux2002 (ok) on 23-Окт-10, 17:13
Можно включить все хосты в один коммутатор и подключить коммутатор к сети провайдера. Подсчёт траффика на каждом сервере индивидуально.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	8. "Маршрутизация для сети с реальными IP через один шлюз"	+/–
	Сообщение от tux2002 (ok) on 23-Окт-10, 17:19
	> Можно включить все хосты в один коммутатор и подключить коммутатор к сети > провайдера. Подсчёт траффика на каждом сервере индивидуально. Если всё таки стоит задача контроллиовать траффик на маршрутизаторе, попробуйте арендовать у провайдера дополнительную сеть с широкой маской для выхода в интернет.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	9. "Маршрутизация для сети с реальными IP через один шлюз"	+/–
	Сообщение от D_Darth (ok) on 23-Окт-10, 22:07
	> Можно включить все хосты в один коммутатор и подключить коммутатор к сети > провайдера. Подсчёт траффика на каждом сервере индивидуально. Этот вариант не приемлем - считать трафик провайдером, так как нужно будет в будующем не только считать, но и контролировать. Proxy arp как мне кажется - для моей задачи в самый раз, вот только я не могу его заставить работать.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема