[Sysadmins] trafik redirection - advice needed

[Sysadmins] trafik redirection - advice needed

[Alexander Volkov]

Hi!
Есть две точки - А и Б, А -основная, Б - филиал. Трафик между ними не
тарифицируется, у Б необходимости во внешнем трафике нет. Но - на эту
точку приходится 300 мег предоплаченного внешнего трафа ежемесячно, да и
собсно входящий на неё трафик дешевле на 20%.
На обеих точках М2.4, но машинка на Б - совсем убогая, 75МГц проц и 16 мег
памяти, на сейчас она только ovpn соединение с А держит.
Может кто посоветовать, как бы мне входящий трафик через Б пускать?
С www понятно - можно nginx на проксирование настроить, dns много не дрет
вроде...А вот с остальными службами мона что сделать? Резервный МХ, к
примеру ?

--
 Regards, Alexander

Re: [Sysadmins] trafik redirection - advice needed

[Anton Kvashin]

Alexander Volkov пишет:
> Есть две точки - А и Б, А -основная, Б - филиал.
> Может кто посоветовать, как бы мне входящий трафик через Б пускать?
> С www понятно - можно nginx на проксирование настроить, dns много не дрет
> вроде...А вот с остальными службами мона что сделать? Резервный МХ, к
> примеру ?

Рассказать о переезде служб на точку Б, DNS.
Устроить DNAT к точке A от точки Б.
Можно пустить точку A через B, например, via proxy (чтобы весь
входящий трафик через Б).
Резервный MX? Если DNS будет маршрутизировать на точку Б всю почту,
то достаточно DNAT на 25 порт к точке А. Либо еще одну запись MX  в
вашей зоне.

-- 
Anton Kvashin

Re: [Sysadmins] trafik redirection - advice needed

[Alexander Volkov]

On 2007-04-19 12:45:30 +0600, Anton Kvashin wrote:
AK> Alexander Volkov пишет:
AK> > Есть две точки - А и Б, А -основная, Б - филиал.
AK> > Может кто посоветовать, как бы мне входящий трафик через Б пускать?
AK> > С www понятно - можно nginx на проксирование настроить, dns много не дрет
AK> > вроде...А вот с остальными службами мона что сделать? Резервный МХ, к
AK> > примеру ?

AK> Рассказать о переезде служб на точку Б, DNS.
AK> Устроить DNAT к точке A от точки Б.
AK> Можно пустить точку A через B, например, via proxy (чтобы весь
AK> входящий трафик через Б).
AK> Резервный MX? Если DNS будет маршрутизировать на точку Б всю почту,
AK> то достаточно DNAT на 25 порт к точке А. Либо еще одну запись MX  в
AK> вашей зоне.

Да, мне нужна ещё одна запись МХ (точнее, она есть и смотрит на А),
DNAT будет достаточно?

--
 Regards, Alexander

Re: [Sysadmins] trafik redirection - advice needed

[Anton Kvashin]

Alexander Volkov пишет:
> AK> Резервный MX? Если DNS будет маршрутизировать на точку Б всю почту,
> AK> то достаточно DNAT на 25 порт к точке А. Либо еще одну запись MX  в
> AK> вашей зоне.
> 
> Да, мне нужна ещё одна запись МХ (точнее, она есть и смотрит на А),
> DNAT будет достаточно?

Если добавить еще одну запись MX на точку Б, то надо либо поднимать
на этой точке свой MTA, либо делать DNAT на 25 порт точки А (т.е.
будет два маршрута на один почтовый сервис)

-- 
Anton Kvashin

Re: [Sysadmins] trafik redirection - advice needed

[Alexander Volkov]

On 2007-04-19 17:32:49 +0600, Anton Kvashin wrote:
AK> Alexander Volkov пишет:
AK> > AK> Резервный MX? Если DNS будет маршрутизировать на точку Б всю почту,
AK> > AK> то достаточно DNAT на 25 порт к точке А. Либо еще одну запись MX  в
AK> > AK> вашей зоне.
AK> > 
AK> > Да, мне нужна ещё одна запись МХ (точнее, она есть и смотрит на А),
AK> > DNAT будет достаточно?

AK> Если добавить еще одну запись MX на точку Б, то надо либо поднимать
AK> на этой точке свой MTA, либо делать DNAT на 25 порт точки А (т.е.
AK> будет два маршрута на один почтовый сервис)
Сделал DNAT, в FORWARD тоже прописал, на входе пакеты вижу, а ответов -
нет...
Странно, что ещё забыл?

--
 Regards, Alexander

Re: [Sysadmins] trafik redirection - advice needed

[Sergei Boudnik]

Alexander Volkov пишет:
> Сделал DNAT, в FORWARD тоже прописал, на входе пакеты вижу, а ответов -
> нет...
> Странно, что ещё забыл?
>
>   
SNAT на свой IP после DNAT на POSTRUTING-е

Re: [Sysadmins] trafik redirection - advice needed

[Alexander Volkov]

On 2007-04-20 13:32:31 +0300, Sergei Boudnik wrote:
SB> Alexander Volkov пишет:
SB> > Сделал DNAT, в FORWARD тоже прописал, на входе пакеты вижу, а ответов -
SB> > нет...
SB> > Странно, что ещё забыл?
SB> >
SB> >   
SB> SNAT на свой IP после DNAT на POSTRUTING-е
А оно разве не относится к ESTABLISHED,RELATED?
--
 Regards, Alexander

Re: [Sysadmins] trafik redirection - advice needed

[Sergei Boudnik]

Alexander Volkov пишет:
> On 2007-04-20 13:32:31 +0300, Sergei Boudnik wrote:
> SB> Alexander Volkov пишет:
> SB> > Сделал DNAT, в FORWARD тоже прописал, на входе пакеты вижу, а ответов -
> SB> > нет...
> SB> > Странно, что ещё забыл?
> SB> >
> SB> >   
> SB> SNAT на свой IP после DNAT на POSTRUTING-е
> А оно разве не относится к ESTABLISHED,RELATED?
> ps://lists.altlinux.org/mailman/listinfo/sysadmins
>   
А с какого бодуна NAT может относиться к статусу пакета?
DNAT пробрасывает пакеты получателю, не меняя адрес отправителя.
Получается примерно такой диалог:
Хост1 спрашивает у Хоста2: по порту n работать будем?
Хост2 переадресовывает вопрос на Хост3
Хост3 отвечает Хосту1: будем!
Хост1 говорит Хосту3: а ты кто такой? я тебя не знаю.

Чтобы обратная связь от Хост3 шла через Хост2, нужно для пакетов, 
переадресуемых DNAT на построутинге сделать SNAT или MASQUERADE

PS: Это так, на пальцах, чтобы всем понятно было.

Re: [Sysadmins] trafik redirection - advice needed

[Alexander Volkov]

On 2007-04-20 14:19:46 +0300, Sergei Boudnik wrote:
SB> Alexander Volkov пишет:
SB> > On 2007-04-20 13:32:31 +0300, Sergei Boudnik wrote:
SB> > SB> Alexander Volkov пишет:
SB> > SB> > Сделал DNAT, в FORWARD тоже прописал, на входе пакеты вижу, а ответов -
SB> > SB> > нет...
SB> > SB> > Странно, что ещё забыл?
SB> > SB> >
SB> > SB> >   
SB> > SB> SNAT на свой IP после DNAT на POSTRUTING-е
SB> > А оно разве не относится к ESTABLISHED,RELATED?
SB> > ps://lists.altlinux.org/mailman/listinfo/sysadmins
SB> >   
SB> А с какого бодуна NAT может относиться к статусу пакета?
SB> DNAT пробрасывает пакеты получателю, не меняя адрес отправителя.
SB> Получается примерно такой диалог:
SB> Хост1 спрашивает у Хоста2: по порту n работать будем?
SB> Хост2 переадресовывает вопрос на Хост3
SB> Хост3 отвечает Хосту1: будем!
SB> Хост1 говорит Хосту3: а ты кто такой? я тебя не знаю.

SB> Чтобы обратная связь от Хост3 шла через Хост2, нужно для пакетов, 
SB> переадресуемых DNAT на построутинге сделать SNAT или MASQUERADE

SB> PS: Это так, на пальцах, чтобы всем понятно было.
Понятно. пардон. к пятнице тормоза накапливаются.
Теперь вопрос уточняющий: а как определить пакеты, прошедшие через хост2?
--
 Regards, Alexander

Re: [Sysadmins] trafik redirection - advice needed

[Sergei Boudnik]

Alexander Volkov пишет:
> On 2007-04-20 14:19:46 +0300, Sergei Boudnik wrote:
> SB> Alexander Volkov пишет:
> SB> > On 2007-04-20 13:32:31 +0300, Sergei Boudnik wrote:
> SB> > SB> Alexander Volkov пишет:
> SB> > SB> > Сделал DNAT, в FORWARD тоже прописал, на входе пакеты вижу, а ответов -
> SB> > SB> > нет...
> SB> > SB> > Странно, что ещё забыл?
> SB> > SB> >
> SB> > SB> >   
> SB> > SB> SNAT на свой IP после DNAT на POSTRUTING-е
> SB> > А оно разве не относится к ESTABLISHED,RELATED?
> SB> > ps://lists.altlinux.org/mailman/listinfo/sysadmins
> SB> >   
> SB> А с какого бодуна NAT может относиться к статусу пакета?
> SB> DNAT пробрасывает пакеты получателю, не меняя адрес отправителя.
> SB> Получается примерно такой диалог:
> SB> Хост1 спрашивает у Хоста2: по порту n работать будем?
> SB> Хост2 переадресовывает вопрос на Хост3
> SB> Хост3 отвечает Хосту1: будем!
> SB> Хост1 говорит Хосту3: а ты кто такой? я тебя не знаю.
>
> SB> Чтобы обратная связь от Хост3 шла через Хост2, нужно для пакетов, 
> SB> переадресуемых DNAT на построутинге сделать SNAT или MASQUERADE
>
> SB> PS: Это так, на пальцах, чтобы всем понятно было.
> Понятно. пардон. к пятнице тормоза накапливаются.
> Теперь вопрос уточняющий: а как определить пакеты, прошедшие через хост2?
>   
Не совсем, где и что нужно определить.
Эсли вопрос стоит о том, для каких пакетов делать маскарадинг, то это те 
самые пакеты, для которых делается DNAT в nat PREROUTING, потом ACCEPT в 
filter FORWARD, а после чего, на выходе, делается MASQUERADE или SNAT в 
nat POSTROUTING.

-- 
WBR, Sergei Boudnik
SSB-RIPE
SSB1-UANIC

Re: [Sysadmins] trafik redirection - advice needed

[Alexander Volkov]

On 2007-04-20 15:15:24 +0300, Sergei Boudnik wrote:
SB> Alexander Volkov пишет:
SB> > On 2007-04-20 14:19:46 +0300, Sergei Boudnik wrote:
SB> > SB> Alexander Volkov пишет:
SB> > SB> > On 2007-04-20 13:32:31 +0300, Sergei Boudnik wrote:
SB> > SB> > SB> Alexander Volkov пишет:
SB> > SB> > SB> > Сделал DNAT, в FORWARD тоже прописал, на входе пакеты вижу, а ответов -
SB> > SB> > SB> > нет...
SB> > SB> > SB> > Странно, что ещё забыл?
SB> > SB> > SB> >
SB> > SB> > SB> >   
SB> > SB> > SB> SNAT на свой IP после DNAT на POSTRUTING-е
SB> > SB> > А оно разве не относится к ESTABLISHED,RELATED?
SB> > SB> > ps://lists.altlinux.org/mailman/listinfo/sysadmins
SB> > SB> >   
SB> > SB> А с какого бодуна NAT может относиться к статусу пакета?
SB> > SB> DNAT пробрасывает пакеты получателю, не меняя адрес отправителя.
SB> > SB> Получается примерно такой диалог:
SB> > SB> Хост1 спрашивает у Хоста2: по порту n работать будем?
SB> > SB> Хост2 переадресовывает вопрос на Хост3
SB> > SB> Хост3 отвечает Хосту1: будем!
SB> > SB> Хост1 говорит Хосту3: а ты кто такой? я тебя не знаю.
SB> >
SB> > SB> Чтобы обратная связь от Хост3 шла через Хост2, нужно для пакетов, 
SB> > SB> переадресуемых DNAT на построутинге сделать SNAT или MASQUERADE
SB> >
SB> > SB> PS: Это так, на пальцах, чтобы всем понятно было.
SB> > Понятно. пардон. к пятнице тормоза накапливаются.
SB> > Теперь вопрос уточняющий: а как определить пакеты, прошедшие через хост2?
SB> >   
SB> Не совсем, где и что нужно определить.
SB> Эсли вопрос стоит о том, для каких пакетов делать маскарадинг, то это те 
SB> самые пакеты, для которых делается DNAT в nat PREROUTING, потом ACCEPT в 
SB> filter FORWARD, а после чего, на выходе, делается MASQUERADE или SNAT в 
SB> nat POSTROUTING.
На выходе чего? На хосте2 они уже DNATятся и приходят на хост3. Как мне
ответ вернуть через хост2?
Хосты 2 и 3 расположены в разных подсетях одного провайдера.
--
 Regards, Alexander

Re: [Sysadmins] trafik redirection - advice needed

[Sergei Boudnik]

Alexander Volkov пишет:
> SB> > SB> >   
> SB> > SB> А с какого бодуна NAT может относиться к статусу пакета?
> SB> > SB> DNAT пробрасывает пакеты получателю, не меняя адрес отправителя.
> SB> > SB> Получается примерно такой диалог:
> SB> > SB> Хост1 спрашивает у Хоста2: по порту n работать будем?
> SB> > SB> Хост2 переадресовывает вопрос на Хост3
> SB> > SB> Хост3 отвечает Хосту1: будем!
> SB> > SB> Хост1 говорит Хосту3: а ты кто такой? я тебя не знаю.
> SB> >
> SB> > SB> Чтобы обратная связь от Хост3 шла через Хост2, нужно для пакетов, 
> SB> > SB> переадресуемых DNAT на построутинге сделать SNAT или MASQUERADE
> SB> >
> SB> > SB> PS: Это так, на пальцах, чтобы всем понятно было.
> SB> > Понятно. пардон. к пятнице тормоза накапливаются.
> SB> > Теперь вопрос уточняющий: а как определить пакеты, прошедшие через хост2?
> SB> >   
> SB> Не совсем, где и что нужно определить.
> SB> Эсли вопрос стоит о том, для каких пакетов делать маскарадинг, то это те 
> SB> самые пакеты, для которых делается DNAT в nat PREROUTING, потом ACCEPT в 
> SB> filter FORWARD, а после чего, на выходе, делается MASQUERADE или SNAT в 
> SB> nat POSTROUTING.
> На выходе чего? На хосте2 они уже DNATятся и приходят на хост3. Как мне
> ответ вернуть через хост2?
> Хосты 2 и 3 расположены в разных подсетях одного провайдера.
>   
На хост3 он придет с адресом хост1 в поле from. Ответ на запрос, 
посланный хостом1 на хост2 придет с хост3, а не с хост2 и будет 
проигнорирован.

Читаем Iptables Tutorial (http://www.opennet.ru/docs/RUS/iptables/) до 
полного просветления. Там прямым текстом написано, как строится DNAT.

-- 
WBR, Sergei Boudnik
SSB-RIPE
SSB1-UANIC

Re: [Sysadmins] trafik redirection - advice needed

[Alexander Volkov]

On 2007-04-20 16:03:42 +0300, Sergei Boudnik wrote:
SB> Alexander Volkov пишет:
SB> > SB> > SB> >   
SB> > SB> > SB> А с какого бодуна NAT может относиться к статусу пакета?
SB> > SB> > SB> DNAT пробрасывает пакеты получателю, не меняя адрес отправителя.
SB> > SB> > SB> Получается примерно такой диалог:
SB> > SB> > SB> Хост1 спрашивает у Хоста2: по порту n работать будем?
SB> > SB> > SB> Хост2 переадресовывает вопрос на Хост3
SB> > SB> > SB> Хост3 отвечает Хосту1: будем!
SB> > SB> > SB> Хост1 говорит Хосту3: а ты кто такой? я тебя не знаю.
SB> > SB> >
SB> > SB> > SB> Чтобы обратная связь от Хост3 шла через Хост2, нужно для пакетов, 
SB> > SB> > SB> переадресуемых DNAT на построутинге сделать SNAT или MASQUERADE
SB> > SB> >
SB> > SB> > SB> PS: Это так, на пальцах, чтобы всем понятно было.
SB> > SB> > Понятно. пардон. к пятнице тормоза накапливаются.
SB> > SB> > Теперь вопрос уточняющий: а как определить пакеты, прошедшие через хост2?
SB> > SB> >   
SB> > SB> Не совсем, где и что нужно определить.
SB> > SB> Эсли вопрос стоит о том, для каких пакетов делать маскарадинг, то это те 
SB> > SB> самые пакеты, для которых делается DNAT в nat PREROUTING, потом ACCEPT в 
SB> > SB> filter FORWARD, а после чего, на выходе, делается MASQUERADE или SNAT в 
SB> > SB> nat POSTROUTING.
SB> > На выходе чего? На хосте2 они уже DNATятся и приходят на хост3. Как мне
SB> > ответ вернуть через хост2?
SB> > Хосты 2 и 3 расположены в разных подсетях одного провайдера.
SB> >   
SB> На хост3 он придет с адресом хост1 в поле from. Ответ на запрос, 
SB> посланный хостом1 на хост2 придет с хост3, а не с хост2 и будет 
SB> проигнорирован.

SB> Читаем Iptables Tutorial (http://www.opennet.ru/docs/RUS/iptables/) до 
SB> полного просветления. Там прямым текстом написано, как строится DNAT.
Я ж грю - пятница... :)
Сделал, даже работает...оно, правда, при этом выглядит как исходящее с
хоста2, что может несколько усложнить борьбу со спамом...
Ладно, обмозговывать буду потом.
--
 Regards, Alexander