[Comm] Re: Linux Gate

[Alexey Morsov]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Денис Смирнов пишет:
| On Wed, Nov 26, 2003 at 12:40:54PM +0300, Alexey Morsov wrote:
|
|  >> Ключевые слово для поиска документации -- NAT, MASWUERADE.
|  > Погряз уже во всех этих NAT =)
|
| Сейчас есть неплохие FAQ на эти темы. Помнится я его настроил
на второй
| день после того, как первый раз увидел живьём сетевую карту :)
|
|  > Дело в том что в нашей сетке стоят и www и ftp и mail сервера
|  > (хотя прописаны они в сетке провайдера - т.е. видны извне) - но
|  > физчески они в нашей сетке... Сейчас у нас cisco так и настроена
|  > - - от нас вовне доступно все - к нам извне только http, ftp (ну
|  > плюс видимо все порты от 1024 и выше... они вроде как почти
|  > всегда открыт) - никаких телнетов и ssh
|  > А - ну почта конечно...
|  > Вот нужно такое же дело изобразить на Linux (для adsl)
|
| Тогда лучше всего сделать так:
|  - извне разрешить все пакеты по уже установленым соединениям
Не понял что вы имеет ввиду... 8-\
|  - извне разрешить http/ftp/https траффик
|  - всё остальное извне запретить (по всем портам)
|
|  > И вот тут непонятка - сейчас у нас route сеть провайдера (те 8
|  > адресов что он нам выделил как внешние) настроен. Если я
втыкаю в
|  > комп вторую сетевуху, то по идее у меня долна таблица route
|  > выглядить типа как:
|  > route -net 201.xxx.xxx.xxx netmask 201.xxx.xxx.xxx gw
|  > 201.xxx.xxx.xxx dev eth0 (первый провайдер)
|  > route -net 202.xxx.xxx.xxx netmask 202.xxx.xxx.xxx gw
|  > 202.xxx.xxx.xxx  dev eth1 (второй провайдер)
|  > И в iptables я так понимаю надо сделать что-то типа:
|  > iptables -t nat -A PREROUTING -i eth0 -j SNAT --to-source
|  > 202.xxx.xxx.xxx:1024-32000
|  > и дальше route его закинет куда надо, как я поинмаю
|  > А вот что с ответной частью (т.е. с ответом что прийдет извне -
|  > он ведь прийдет на 202.xxx.xxx.xxx)?
|
| NAT адреса переделает.
Ну да - а разве SNAT target не для того чтоб сетку по одному
реальному ip в инет вывести?
|
|  > |  > 4. Заводим все http, ftp и  https запросы пользователй на
|  > прокси.
|  > | С ftp, AFAIK, малореально, да и ненужно чаще всего. Пусть
лучше
|  > через NAT
|  > | ходят. Или нужно журналировать все посещения?
|  > Да заводить пожалуй не надо - просто я думаю надо настроить
|  > iptables так чтобы онно запрещало доступ мимо прокис а прокси
|  > прописывать явно...
|
| Для ftp это траффик вряд ли сэкономит, а вот место в кэше
займёт. Зачем?
Ну тут согласен - кэшировать с ftp конечно не нужно - но в
статистику запыжывать нать - чтоб мерить сколько юзер качает...
Илил это можно сделать как-то еще (помимо прокси) - но как не
хочется собирать всю статистику  с разных углов...
|
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.2 (MingW32)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQE/xMCaanU3DZdZEiwRAnzvAJkBFuOIChJU6kan3hczH9DCr8AuYgCgjSTy
KXnyZCkoVV+vktduc9VW/SQ=
=3Ry2
-----END PGP SIGNATURE-----