форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Тонкая настройка роутера под Linux"
Сообщение от zelts on 10-Июл-03, 13:18  (MSK)
HI ALL! Имеется такая проблема: Linux-сервер с тремя интерфейсами: внутр. eth1, внешний eth0 + VPN-соединение ppp0 поверх Eth0. За ним находится файрвол Solaris, за файрволлом DMZ и локальная сеть. Все прекрасно работает за одним исключением - при поднятии VPN во внешний мир не отправляется почта с mailserver-a в DMZ. Хочется сделать так, чтобы все пакеты из локальной сети с dst port=25 уходили строго через eth0. Пробовал с помощью iptables и iproute2. Может, что-то делаю неправильно. Жду советов.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Тонкая настройка роутера под Linux"
Сообщение от DogEater on 10-Июл-03, 13:46  (MSK)
Судя по всему у тебя при поднятии vpn устанавливется маршрутизация по умолчанию на устройство ppp0 посмотри опцию nodefaultroute  в man pppd для vpn наверное лучше поставить статический маршрут а по умолчанию гнать всё через eth0
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Тонкая настройка роутера под Linux"
	Сообщение от zelts on 10-Июл-03, 13:56  (MSK)
	>Судя по всему у тебя при поднятии vpn устанавливется маршрутизация по умолчанию >на устройство ppp0 >посмотри опцию nodefaultroute  в man pppd >для vpn наверное лучше поставить статический маршрут а по умолчанию гнать всё >через eth0 Беда в том, что если не использовать defaultroute, http запросы пойдут по земле, а там нужен спутниковый инет (для этого и VPN подключение)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Тонкая настройка роутера под Linux"
	Сообщение от DogEater on 10-Июл-03, 14:37  (MSK)
	Накидал бы ты схемку в ascii - что у тебя и как
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Тонкая настройка роутера под Linux"
	Сообщение от zelts on 10-Июл-03, 14:58  (MSK)
	>Накидал бы ты схемку в ascii - что у тебя и как > СПУТНИК DVB карта VPN |   /---------- | / | / ---------    ------------      ------------- ---------- | MAIL  |    |FIREWALL  |      |DVB        | |ROUTER  | | |----| |------|router    |-----|   |-----INTERNET | |    | |      |Linux    | |   | ---------    ------------      ------------- ---------- | | |        LAN
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Тонкая настройка роутера под Linux"
	Сообщение от zelts on 10-Июл-03, 14:59  (MSK)
	СПУТНИК DVB карта VPN |   /---------- | / | / ---------    ------------      ------------- ---------- | MAIL  |    |FIREWALL  |      |DVB        | |ROUTER  | | |----| |------|router    |-----|   |--INET | |    | |      |Linux    | |   | ---------    ------------      ------------- ---------- | | |        LAN
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Тонкая настройка роутера под Linux"
	Сообщение от zelts on 10-Июл-03, 15:03  (MSK)
	VPN                                _______                               /                              / MAIL----FIREWALL----DVB ROUTER----ROUTER-----INTERNET            |           LINUX            |           LAN
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Тонкая настройка роутера под Linux"
	Сообщение от DogEater on 10-Июл-03, 15:16  (MSK)
	наглядность - великое дело! может mail  вынести за firewall, ибо пакеты приходящие на linux и направляющиеся хз куда - всегда пойдут по умолчанию либо делать туннель от mail к DVB ROUTER т.е. пакеты туннеля по любому пойдут к DVB ROUTER, а пакеты от mail за DVB ROUTER ибо теперь им и знать не надо поднят vpn  или нет попробуй это осмыслить...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Тонкая настройка роутера под Linux"
	Сообщение от zelts on 10-Июл-03, 15:55  (MSK)
	Первый вариант исключен (так хотят хозяева по соображениям секьюрности, из-за этого же не могу занести DVB за файрволл). Второй вариант можно обдумать, спасибо за совет, но все таки - реально ли настроить роутинг по порту назначения? (Как скажем в iproute2 по хосту).
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "Тонкая настройка роутера под Linux"
	Сообщение от DogEater on 10-Июл-03, 22:12  (MSK)
	Чего то я это не мог принять идеологически(ну я прям Суслов :-)!) Хотя я помню, что пакеты должны выбирать роутер с меньшей "ценой" по дороге до цели (т.е. с меньшим количеством хопов - проходов через маршрутизаторы) Если чем-то можно менять "ценность" ppp0 и eth0 может и получится, но я опять же не могу представить как это сделать для одного порта Возможно решение на поверности - просто надо почитать про tcp/ip ещё глубже.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "Тонкая настройка роутера под Linux"
	Сообщение от DogEater on 10-Июл-03, 22:21  (MSK)
	Кстати о секурности. майлсервак наружу за файервол, ещё один туннель до него, все сервисы кроме МТА порезать нахер МТА напрямую принимает/отправляет почту а читать её можно внутри того же туннеля (привязать pop/imap к внутреннему ip туннеля) Вроде как всё Теперь могут ломать МТА или тоннель. МТА подбираешь "неломкий", тоннель от спуфинга защишаешь натом И вроде как остаётся только DoS, ну а тут уж...
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "Тонкая настройка роутера под Linux"
	Сообщение от Firewalker on 11-Июл-03, 15:15  (MSK)
	>реально ли настроить роутинг по >порту назначения? (Как скажем в iproute2 по хосту). iptables -j MARK + iproute fwmark
		Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "Тонкая настройка роутера под Linux"
Сообщение от Mikhail on 11-Июл-03, 10:23  (MSK)
Может, все-таки что-то неправильно делаешь? Может, конфиги и результат покажешь :-) ?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.