From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Message-ID: <3FC4C09B.7000903@ricom.ru> Date: Wed, 26 Nov 2003 18:02:51 +0300 From: Alexey Morsov Organization: Ricom-Trust User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.0; ru-RU; rv:1.3) Gecko/20030309 X-Accept-Language: ru-ru, ru, ja MIME-Version: 1.0 To: community@altlinux.ru Subject: Re: [Comm] Re: Linux Gate References: <3FC34DE5.90405@ricom.ru> <20031126075223.GC11169@localhost.localdomain> <3FC47526.1050302@ricom.ru> <20031126125615.GB25325@localhost.localdomain> In-Reply-To: <20031126125615.GB25325@localhost.localdomain> X-Enigmail-Version: 0.73.1.0 X-Enigmail-Supports: pgp-inline, pgp-mime Content-Type: text/plain; charset=KOI8-R; format=flowed Content-Transfer-Encoding: 8bit X-BeenThere: community@altlinux.ru X-Mailman-Version: 2.1.3 Precedence: list Reply-To: community@altlinux.ru List-Id: List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Wed, 26 Nov 2003 15:03:11 -0000 Archived-At: List-Archive: List-Post: -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Денис Смирнов пишет: | On Wed, Nov 26, 2003 at 12:40:54PM +0300, Alexey Morsov wrote: | | >> Ключевые слово для поиска документации -- NAT, MASWUERADE. | > Погряз уже во всех этих NAT =) | | Сейчас есть неплохие FAQ на эти темы. Помнится я его настроил на второй | день после того, как первый раз увидел живьём сетевую карту :) | | > Дело в том что в нашей сетке стоят и www и ftp и mail сервера | > (хотя прописаны они в сетке провайдера - т.е. видны извне) - но | > физчески они в нашей сетке... Сейчас у нас cisco так и настроена | > - - от нас вовне доступно все - к нам извне только http, ftp (ну | > плюс видимо все порты от 1024 и выше... они вроде как почти | > всегда открыт) - никаких телнетов и ssh | > А - ну почта конечно... | > Вот нужно такое же дело изобразить на Linux (для adsl) | | Тогда лучше всего сделать так: | - извне разрешить все пакеты по уже установленым соединениям Не понял что вы имеет ввиду... 8-\ | - извне разрешить http/ftp/https траффик | - всё остальное извне запретить (по всем портам) | | > И вот тут непонятка - сейчас у нас route сеть провайдера (те 8 | > адресов что он нам выделил как внешние) настроен. Если я втыкаю в | > комп вторую сетевуху, то по идее у меня долна таблица route | > выглядить типа как: | > route -net 201.xxx.xxx.xxx netmask 201.xxx.xxx.xxx gw | > 201.xxx.xxx.xxx dev eth0 (первый провайдер) | > route -net 202.xxx.xxx.xxx netmask 202.xxx.xxx.xxx gw | > 202.xxx.xxx.xxx dev eth1 (второй провайдер) | > И в iptables я так понимаю надо сделать что-то типа: | > iptables -t nat -A PREROUTING -i eth0 -j SNAT --to-source | > 202.xxx.xxx.xxx:1024-32000 | > и дальше route его закинет куда надо, как я поинмаю | > А вот что с ответной частью (т.е. с ответом что прийдет извне - | > он ведь прийдет на 202.xxx.xxx.xxx)? | | NAT адреса переделает. Ну да - а разве SNAT target не для того чтоб сетку по одному реальному ip в инет вывести? | | > | > 4. Заводим все http, ftp и https запросы пользователй на | > прокси. | > | С ftp, AFAIK, малореально, да и ненужно чаще всего. Пусть лучше | > через NAT | > | ходят. Или нужно журналировать все посещения? | > Да заводить пожалуй не надо - просто я думаю надо настроить | > iptables так чтобы онно запрещало доступ мимо прокис а прокси | > прописывать явно... | | Для ftp это траффик вряд ли сэкономит, а вот место в кэше займёт. Зачем? Ну тут согласен - кэшировать с ftp конечно не нужно - но в статистику запыжывать нать - чтоб мерить сколько юзер качает... Илил это можно сделать как-то еще (помимо прокси) - но как не хочется собирать всю статистику с разных углов... | -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.2 (MingW32) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQE/xMCaanU3DZdZEiwRAnzvAJkBFuOIChJU6kan3hczH9DCr8AuYgCgjSTy KXnyZCkoVV+vktduc9VW/SQ= =3Ry2 -----END PGP SIGNATURE-----