* Re: [Sysadmins] [Comm] как использовать fqdn в правилах iptables?
@ 2008-02-05 8:06 ` Anton Kvashin
2008-02-05 8:15 ` Глодин С.В.
2008-02-05 10:19 ` Maxim Tyurin
2 siblings, 0 replies; 5+ messages in thread
From: Anton Kvashin @ 2008-02-05 8:06 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Денис Черносов пишет:
> У нас есть головная компания. А у неё есть сервера, к которым мы должны
> без проблем подключаться. Они нам дают настройки в виде fqdn:port
Разрешить исходящие подключения (удаленный порт видимо не меняется)?
> Но сами сервера сначала были в России у одного хостера, потом у другого,
> сейчас находятся в Америке (причем несколько штук и в разных штатах). И
> всё это может относительно динамично меняться и, разумеется, безо
> всякого предупреждения. При статичности fqdn. Если директор не может
> посмотреть финансовую отчетность, потому что изменились настройки
> firewall, нервничать буду я и вполне по поводу. Пока выход только в
> открытии порта из всей локальной сети.
Директору открыть доступ для любых подключений во вне?
> Если я на работающей сетке, поднятых интерфейсах и bind добавляю
> правило, например на win.mail.ru:110 <http://win.mail.ru:110>, то оно
> отрабатывается нормально и особых тормозов я не замечал (сетка маленькая
> и это вообще не сильно критично а для оптимизации запросы на конкретный
> нужный порт можно вынести в отдельную цепочку, где и проводить
> проверки). Проблемы (вполне объяснимые) создают попытки использовать
> правила такого вида в iptables-save.
Почему win.mail.ru? А не pop.mail.ru и smtp.mail.ru? Они имеют по одному
IP, врядли меняются. Это для использования почтовых клиентов. Если
веб-почта, то достаточно http-проксирования.
> С той же самой почтой, например, можно разрешить пользователям
> пользоваться, только почтой с яндекса, mail.ru <http://mail.ru> и google
> (исходящие на порты smtp, pop3, imap), а остальное закрыть в целях
> борьбы с вирусами-спамерами. Но на один mail.yandex.ru
> <http://mail.yandex.ru> может приходиться несколько ip, которые могут
> измениться в любой момент. После какого-то критического порога подобных
> правил, следить за актуальностью ip руками будет слишком обременительно.
> И, как ни следи, а смену адреса всё равно прозеваешь и получишь простой.
Использовать прокси, там и определять что можно.
> Не падение линка, а ifdown, ifup (у меня сейчас на сервере периодически
> повисает внешний интерфейс. Проблема скорее всего в мат. плате, уже
> готовится другой сервер ему на замену, но пока суть да дело... Не
> перезагружать же из-за этого весь сервер.).
ipmp (для Солярки), для Linux попробовать bonding (вторую сетевую
карточку), режим Active-backup.
--
Anton Kvashin
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [Sysadmins] [Comm] как использовать fqdn в правилах iptables?
2008-02-05 8:06 ` Anton Kvashin
@ 2008-02-05 8:15 ` Глодин С.В.
2008-02-05 10:19 ` Maxim Tyurin
2 siblings, 0 replies; 5+ messages in thread
From: Глодин С.В. @ 2008-02-05 8:15 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
вівторок, 05-лют-2008, Денис Черносов написав:
> 04.02.08, Anton Kvashin <foo@junior.esoo.ru> написал(а):
> > Денис Черносов пишет:
> > > В некоторых ситуациях fqdn (а еще лучше маска!!!) просто необходимо.
> > > Потому что одно имя может иметь несколько ip или просто меняться
> > > гораздо реже, чем ip.
> >
> > Внести блок адресов организации/конторы/провайдера. Сделать выборку
> > интересующих вас, правда покрытие может быть шире.
>
> У нас есть головная компания. А у неё есть сервера, к которым мы должны
> без проблем подключаться. Они нам дают настройки в виде fqdn:port
А не пробовали говорить с головной компанией по поводу поднятия любого типа
VPN? При этом VPN-адресация будет постоянной и не нужно будет делать подобных
извращений. Кстати, это нормальная, общепринятая практика в таких случаях.
--
С уважением,
С.В. Глодин
^ permalink raw reply [flat|nested] 5+ messages in thread
* Re: [Sysadmins] [Comm] как использовать fqdn в правилах iptables?
2008-02-05 8:06 ` Anton Kvashin
2008-02-05 8:15 ` Глодин С.В.
@ 2008-02-05 10:19 ` Maxim Tyurin
2 siblings, 0 replies; 5+ messages in thread
From: Maxim Tyurin @ 2008-02-05 10:19 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Денис Черносов writes:
> 04.02.08, Anton Kvashin <foo@junior.esoo.ru> написал(а):
>>
>> Денис Черносов пишет:
>> > В некоторых ситуациях fqdn (а еще лучше маска!!!) просто необходимо.
>> > Потому что одно имя может иметь несколько ip или просто меняться гораздо
>> > реже, чем ip.
>>
>> Внести блок адресов организации/конторы/провайдера. Сделать выборку
>> интересующих вас, правда покрытие может быть шире.
>
>
> У нас есть головная компания. А у неё есть сервера, к которым мы должны без
> проблем подключаться. Они нам дают настройки в виде fqdn:port
>
> Но сами сервера сначала были в России у одного хостера, потом у другого,
> сейчас находятся в Америке (причем несколько штук и в разных штатах). И всё
> это может относительно динамично меняться и, разумеется, безо всякого
> предупреждения. При статичности fqdn. Если директор не может посмотреть
> финансовую отчетность, потому что изменились настройки firewall, нервничать
> буду я и вполне по поводу. Пока выход только в открытии порта из всей
> локальной сети.
> Трафик - не http|ftp или какой-то другой из общеизвестных. Точно
> шифрованный, но подробности мне тоже недоступны. Как он будет переживать
> прозрачное проксирование - затрудняюсь сказать. Настраивать прокси руками
> тоже не везде получится - есть несколько самописных примитивных
> программулин, в которых этих настроек точно нет.
Дели конфигурацию iptables на 2 части.
Первая часть с минимальной настройкой стартует штатно.
Вторая часть с резолвингом имен из rc.local
Вторую часть можно периодически из cron запускать.
\skip
--
With Best Regards, Maxim Tyurin
JID: MrKooll@jabber.pibhe.com
___
/ _ )__ _____ ___ ____ _______ _____
/ _ / // / _ \/ _ `/ _ `/ __/ // (_-<
/____/\_,_/_//_/\_, /\_,_/_/ \_,_/___/
/___/
^ permalink raw reply [flat|nested] 5+ messages in thread