From: Anton Kvashin <foo@junior.esoo.ru>
To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
Subject: Re: [Sysadmins] [Comm] как использовать fqdn в правилах iptables?
Date: Tue, 05 Feb 2008 13:06:51 +0500
Message-ID: <47A8191B.3060302@junior.esoo.ru> (raw)
In-Reply-To: <d77783290802042303p1cc56f81i343e4dab36565943@mail.gmail.com>
Денис Черносов пишет:
> У нас есть головная компания. А у неё есть сервера, к которым мы должны
> без проблем подключаться. Они нам дают настройки в виде fqdn:port
Разрешить исходящие подключения (удаленный порт видимо не меняется)?
> Но сами сервера сначала были в России у одного хостера, потом у другого,
> сейчас находятся в Америке (причем несколько штук и в разных штатах). И
> всё это может относительно динамично меняться и, разумеется, безо
> всякого предупреждения. При статичности fqdn. Если директор не может
> посмотреть финансовую отчетность, потому что изменились настройки
> firewall, нервничать буду я и вполне по поводу. Пока выход только в
> открытии порта из всей локальной сети.
Директору открыть доступ для любых подключений во вне?
> Если я на работающей сетке, поднятых интерфейсах и bind добавляю
> правило, например на win.mail.ru:110 <http://win.mail.ru:110>, то оно
> отрабатывается нормально и особых тормозов я не замечал (сетка маленькая
> и это вообще не сильно критично а для оптимизации запросы на конкретный
> нужный порт можно вынести в отдельную цепочку, где и проводить
> проверки). Проблемы (вполне объяснимые) создают попытки использовать
> правила такого вида в iptables-save.
Почему win.mail.ru? А не pop.mail.ru и smtp.mail.ru? Они имеют по одному
IP, врядли меняются. Это для использования почтовых клиентов. Если
веб-почта, то достаточно http-проксирования.
> С той же самой почтой, например, можно разрешить пользователям
> пользоваться, только почтой с яндекса, mail.ru <http://mail.ru> и google
> (исходящие на порты smtp, pop3, imap), а остальное закрыть в целях
> борьбы с вирусами-спамерами. Но на один mail.yandex.ru
> <http://mail.yandex.ru> может приходиться несколько ip, которые могут
> измениться в любой момент. После какого-то критического порога подобных
> правил, следить за актуальностью ip руками будет слишком обременительно.
> И, как ни следи, а смену адреса всё равно прозеваешь и получишь простой.
Использовать прокси, там и определять что можно.
> Не падение линка, а ifdown, ifup (у меня сейчас на сервере периодически
> повисает внешний интерфейс. Проблема скорее всего в мат. плате, уже
> готовится другой сервер ему на замену, но пока суть да дело... Не
> перезагружать же из-за этого весь сервер.).
ipmp (для Солярки), для Linux попробовать bonding (вторую сетевую
карточку), режим Active-backup.
--
Anton Kvashin
next prev parent reply other threads:[~2008-02-05 8:06 UTC|newest]
Thread overview: 5+ messages / expand[flat|nested] mbox.gz Atom feed top
2008-02-04 14:10 ` Peter V. Saveliev
2008-02-04 14:17 ` Anton Kvashin
2008-02-05 8:06 ` Anton Kvashin [this message]
2008-02-05 8:15 ` Глодин С.В.
2008-02-05 10:19 ` Maxim Tyurin
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=47A8191B.3060302@junior.esoo.ru \
--to=foo@junior.esoo.ru \
--cc=sysadmins@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git