Ctrl →

ZZZ · Ноя. 16, 2009 20:46:25

Прошу у сообщества помощи.
Дело в том, что я нашёл неплохую работёнку админом и мне дали домашнее задание для проверки моих знаний. Я уже давно ничего не админил, а вспомнить нужно до завтра.

Первая задача такая:

Есть сервер A, который через интерфейс eth0 подключён к интернет и через eth1 – к серверу B.
На сервере A установлен Apache (порты 80 и 443), а на сервере два ftpd (порт 21).
Сервер B должен быть подключён к интернет через сервер A по средством NAT.

Фактически, ответом будет список команд iptables на сервере A, но я уже всё забыл!!! Сейчас копаюсь в манах и, наверное, справлюсь, но всё-таки хотелось бы, чтобы кто-нить написал своё решение и я выберу лучшее.

Ещё вопрос: как заюзать два канала в и-нет через один сервер. Т.е. есть два соединения с внешней сетью и надо прозрачно для пользователя использовать оба. На сервере установлены сквид и постфикс. “Железные” способы решения тоже интересны.

fbt · Ноя. 16, 2009 21:09:11

http://www.howtoforge.com/internet-connection-sharing-masquerading-on-linux

ZZZ · Ноя. 16, 2009 21:54:05

fbt, до

sysctl -w net.ipv4.ip_forward=1

я догадался. А вот как с перенаправением? Да ещё, чтобы оно красиво работало… Разбираюсь потихоньку…

sypper-pit · Ноя. 16, 2009 23:23:21

а обязан ли ты использовать iptables или сгодится, что то другое. К примеру можно использовать на 2 канала route и zebra

ZZZ · Ноя. 16, 2009 23:28:37

Так, начитался и получил что-то вроде этого (192.168.1.2 – IP машины B):

# Разрешаем маршрутизацию
sysctl -w net.ipv4.ip_forward=1

# Разрешаем входящие пакеты уже открытых соединений
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

# Исходящий NAT
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Перенаправление входящего порта ftp (предположим сервер B имеет адрес 192.168.1.2)
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 21 -j DNAT --to-destination 192.168.1.2:21

# Остальное убиваем
iptables -t nat -P PREROUTING DROP

# Пропускаем входящие соединения на Апач машины A
iptables INPUT -i eth0 -p tcp -m multiport --dport 80,443 -j ACCEPT

# Убиваем все непринятые правилами выше входящие
iptables -P INPUT DROP

# Разрешаем все исходящие
iptables -P OUTPUT ACCEPT

Проверьте уж, что не так…

Отредактировано (Ноя. 17, 2009 02:18:01)

ZZZ · Ноя. 16, 2009 23:32:41

sypper-pit
а обязан ли ты использовать iptables или сгодится, что то другое.

Вроде бы и не обязан, но это будет самое правильное.

Так, с первой задачей, я надеюсь, разобрался. Теперь нужно найти решение с двумя каналами.
Подкиньте хоть одну мысль, куда рыть!

sypper-pit · Ноя. 17, 2009 00:58:07

iptables вообще сильный инструмент , думаю разберешься…

ZZZ · Ноя. 17, 2009 01:25:26

Я уже думал об этом, но пока не знаю, как это сделать… Не писать же руками модуль для iptables!

Я вот http://www.kernel.org/pub/linux/kernel/people/marcelo/linux-2.4/Documentation/networking/bonding.txt увидел и думаю, оно это, или не оно… Всё, спать пора…

ZZZ · Ноя. 18, 2009 14:40:38

Ну что, меня взяли, когда я предложил Quagga (спасибо sypper-pit за пинок в сторону Зёбры, форком которой, Квага и является).
Ещё вот тут мне предложили iproute2… Тоже интересная мысль, которая может заработать.

Ладно, мысли есть, а когда руки дойдут до этой проблемы (она реальная), тогда и выберу лучший вариант.

Viper · Ноя. 18, 2009 18:40:13

Настройка iproute2 для использования двух каналов подробно описана тут.

Python-сообщество

Уведомления

#1 Ноя. 16, 2009 20:46:25

iptables

#2 Ноя. 16, 2009 21:09:11

iptables

#3 Ноя. 16, 2009 21:54:05

iptables

#4 Ноя. 16, 2009 23:23:21

iptables

#5 Ноя. 16, 2009 23:28:37

iptables

#6 Ноя. 16, 2009 23:32:41

iptables

#7 Ноя. 17, 2009 00:58:07

iptables

#8 Ноя. 17, 2009 01:25:26

iptables

#9 Ноя. 18, 2009 14:40:38

iptables

#10 Ноя. 18, 2009 18:40:13

iptables

Board footer