[Sysadmins] [Comm] как использовать fqdn в правилах iptables?

Anton Kvashin =?iso-8859-1?q?foo_=CE=C1_junior=2Eesoo=2Eru?=
Вт Фев 5 11:06:51 MSK 2008 

Денис Черносов пишет:
> У нас есть головная компания.  А у неё есть сервера, к которым мы должны 
> без проблем подключаться. Они нам дают настройки в виде fqdn:port

Разрешить исходящие подключения (удаленный порт видимо не меняется)?

> Но сами сервера сначала были в России у одного хостера, потом у другого, 
> сейчас находятся в Америке (причем несколько штук и в разных штатах). И 
> всё это может относительно динамично меняться и, разумеется, безо 
> всякого предупреждения. При статичности fqdn. Если директор не может 
> посмотреть финансовую отчетность, потому что изменились настройки 
> firewall, нервничать буду я и вполне по поводу. Пока выход только в 
> открытии порта из всей локальной сети.

Директору открыть доступ для любых подключений во вне?

> Если я на работающей сетке, поднятых интерфейсах и bind добавляю 
> правило, например на win.mail.ru:110 <http://win.mail.ru:110>, то оно 
> отрабатывается нормально и особых тормозов я не замечал (сетка маленькая 
> и это вообще не сильно критично а для оптимизации запросы на конкретный 
> нужный порт можно вынести в отдельную цепочку, где и проводить 
> проверки). Проблемы (вполне объяснимые) создают попытки использовать 
> правила такого вида в iptables-save.

Почему win.mail.ru? А не pop.mail.ru и smtp.mail.ru? Они имеют по одному 
IP, врядли меняются. Это для использования почтовых клиентов. Если 
веб-почта, то достаточно http-проксирования.

> С той же самой почтой, например, можно разрешить пользователям 
> пользоваться, только почтой с яндекса, mail.ru <http://mail.ru> и google 
> (исходящие на порты smtp, pop3, imap), а остальное закрыть в целях 
> борьбы с вирусами-спамерами. Но на один mail.yandex.ru 
> <http://mail.yandex.ru> может приходиться несколько ip, которые могут 
> измениться в любой момент. После какого-то критического порога подобных 
> правил, следить за актуальностью ip руками будет слишком обременительно. 
> И, как ни следи, а смену адреса всё равно прозеваешь и получишь простой.

Использовать прокси, там и определять что можно.

> Не падение линка, а ifdown, ifup (у меня сейчас на сервере периодически 
> повисает внешний интерфейс. Проблема скорее всего в мат. плате, уже 
> готовится другой сервер ему на замену, но пока суть да дело... Не 
> перезагружать же из-за этого весь сервер.).

ipmp (для Солярки), для Linux попробовать bonding (вторую сетевую 
карточку), режим Active-backup.

-- 
Anton Kvashin

Подробная информация о списке рассылки Sysadmins