From: Anton Kvashin <foo@junior.esoo.ru> To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org> Subject: Re: [Sysadmins] [Comm] как использовать fqdn в правилах iptables? Date: Tue, 05 Feb 2008 13:06:51 +0500 Message-ID: <47A8191B.3060302@junior.esoo.ru> (raw) In-Reply-To: <d77783290802042303p1cc56f81i343e4dab36565943@mail.gmail.com> Денис Черносов пишет: > У нас есть головная компания. А у неё есть сервера, к которым мы должны > без проблем подключаться. Они нам дают настройки в виде fqdn:port Разрешить исходящие подключения (удаленный порт видимо не меняется)? > Но сами сервера сначала были в России у одного хостера, потом у другого, > сейчас находятся в Америке (причем несколько штук и в разных штатах). И > всё это может относительно динамично меняться и, разумеется, безо > всякого предупреждения. При статичности fqdn. Если директор не может > посмотреть финансовую отчетность, потому что изменились настройки > firewall, нервничать буду я и вполне по поводу. Пока выход только в > открытии порта из всей локальной сети. Директору открыть доступ для любых подключений во вне? > Если я на работающей сетке, поднятых интерфейсах и bind добавляю > правило, например на win.mail.ru:110 <http://win.mail.ru:110>, то оно > отрабатывается нормально и особых тормозов я не замечал (сетка маленькая > и это вообще не сильно критично а для оптимизации запросы на конкретный > нужный порт можно вынести в отдельную цепочку, где и проводить > проверки). Проблемы (вполне объяснимые) создают попытки использовать > правила такого вида в iptables-save. Почему win.mail.ru? А не pop.mail.ru и smtp.mail.ru? Они имеют по одному IP, врядли меняются. Это для использования почтовых клиентов. Если веб-почта, то достаточно http-проксирования. > С той же самой почтой, например, можно разрешить пользователям > пользоваться, только почтой с яндекса, mail.ru <http://mail.ru> и google > (исходящие на порты smtp, pop3, imap), а остальное закрыть в целях > борьбы с вирусами-спамерами. Но на один mail.yandex.ru > <http://mail.yandex.ru> может приходиться несколько ip, которые могут > измениться в любой момент. После какого-то критического порога подобных > правил, следить за актуальностью ip руками будет слишком обременительно. > И, как ни следи, а смену адреса всё равно прозеваешь и получишь простой. Использовать прокси, там и определять что можно. > Не падение линка, а ifdown, ifup (у меня сейчас на сервере периодически > повисает внешний интерфейс. Проблема скорее всего в мат. плате, уже > готовится другой сервер ему на замену, но пока суть да дело... Не > перезагружать же из-за этого весь сервер.). ipmp (для Солярки), для Linux попробовать bonding (вторую сетевую карточку), режим Active-backup. -- Anton Kvashin
next prev parent reply other threads:[~2008-02-05 8:06 UTC|newest] Thread overview: 5+ messages / expand[flat|nested] mbox.gz Atom feed top 2008-02-04 14:10 ` Peter V. Saveliev 2008-02-04 14:17 ` Anton Kvashin 2008-02-05 8:06 ` Anton Kvashin [this message] 2008-02-05 8:15 ` Глодин С.В. 2008-02-05 10:19 ` Maxim Tyurin
Reply instructions: You may reply publicly to this message via plain-text email using any one of the following methods: * Save the following mbox file, import it into your mail client, and reply-to-all from there: mbox Avoid top-posting and favor interleaved quoting: https://en.wikipedia.org/wiki/Posting_style#Interleaved_style * Reply using the --to, --cc, and --in-reply-to switches of git-send-email(1): git send-email \ --in-reply-to=47A8191B.3060302@junior.esoo.ru \ --to=foo@junior.esoo.ru \ --cc=sysadmins@lists.altlinux.org \ /path/to/YOUR_REPLY https://kernel.org/pub/software/scm/git/docs/git-send-email.html * If your mail client supports setting the In-Reply-To header via mailto: links, try the mailto: link
ALT Linux sysadmins discussion This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \ sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com public-inbox-index sysadmins Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.sysadmins AGPL code for this site: git clone https://public-inbox.org/public-inbox.git