[Sysadmins] два шлюза и проброс во внутреннюю сеть

Peter V. Saveliev =?iso-8859-1?q?peet_=CE=C1_altlinux=2Eru?=
Пт Ноя 2 10:11:06 MSK 2007


В сообщении от Friday 02 November 2007 08:57:36 altlinux на aaanet.ru написал(а):
> сервак на который происходит проброс под windows.

Час от часу не легче :))

Короче, Вы можете разгребать ответы в ту же AS, откуда были запросы, но для 
этого Вам нужно знать или хранить, откуда эти запросы таки пришли. Если 
сервис не на самом шлюзе, тогда у routing engine просто нет шансов узнать, к 
какому запросу относится ответ, не залезая в connection tracking. А туда оно 
лазить не умеет, iirc.

Поскольку перед нами не стоит задачи научить rpdb смотреть в таблицы 
connection tracking (что было бы нарушением иерархии протоколов -- ip не 
должен ничего знать про вышележащее (что не мешает tcp нарушать иерархию, 
однако, но опустим этот момент)), самое простое -- изолировать траффик. Можно 
раскидать на разные интерфейсы, разные vlan или разные ip.

> 1. не подскажите, а поможет ли мне если я на сервере(шлюзе) добавлю алиас
> IP адрес и добавлю таблицу маршрутов для этих адресов и на сервере на
> который осуществляется проброс добавить алиас IP адрес, вместо отдельных
> сетей/vlan.

Может сработать.

> 2. и еще один вопрос, нет ли какого нибудь TCP прокси который 
> бы пробрасывал трафик, который мог бы заменить dnat

# apt-cache show simpleproxy
Package: simpleproxy
<skip />
Description: Simple TCP/IP proxy
 Simpleproxy program acts as simple TCP proxy. It listens on a local
 socket, and any connection to this port will be forwarded to another
 socket at the remote host. It can also use an HTTPS proxy server to
 forward connections, and can be configured via command line as well as a
 config file.

Ну, есть ещё xinetd.

<skip />

-- 
Peter V. Saveliev


Подробная информация о списке рассылки Sysadmins