From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.2.3 (2007-08-08) on sa.int.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-0.5 required=5.0 tests=AWL,BAYES_00,WEIRD_PORT autolearn=no version=3.2.3 Message-ID: <47A8191B.3060302@junior.esoo.ru> Date: Tue, 05 Feb 2008 13:06:51 +0500 From: Anton Kvashin User-Agent: Thunderbird 2.0.0.6 (X11/20071022) MIME-Version: 1.0 To: ALT Linux sysadmin discuss References: <47A71E7E.4070605@junior.esoo.ru> In-Reply-To: Content-Type: text/plain; charset=KOI8-R; format=flowed Content-Transfer-Encoding: 8bit Subject: Re: [Sysadmins] =?koi8-r?b?W0NvbW1dIMvByyDJ09DPzNjaz9fB1NggZnFkbiDX?= =?koi8-r?b?INDSwdfJzMHIIGlwdGFibGVzPw==?= X-BeenThere: sysadmins@lists.altlinux.org X-Mailman-Version: 2.1.9 Precedence: list Reply-To: ALT Linux sysadmin discuss List-Id: ALT Linux sysadmin discuss List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Tue, 05 Feb 2008 08:05:36 -0000 Archived-At: List-Archive: Денис Черносов пишет: > У нас есть головная компания. А у неё есть сервера, к которым мы должны > без проблем подключаться. Они нам дают настройки в виде fqdn:port Разрешить исходящие подключения (удаленный порт видимо не меняется)? > Но сами сервера сначала были в России у одного хостера, потом у другого, > сейчас находятся в Америке (причем несколько штук и в разных штатах). И > всё это может относительно динамично меняться и, разумеется, безо > всякого предупреждения. При статичности fqdn. Если директор не может > посмотреть финансовую отчетность, потому что изменились настройки > firewall, нервничать буду я и вполне по поводу. Пока выход только в > открытии порта из всей локальной сети. Директору открыть доступ для любых подключений во вне? > Если я на работающей сетке, поднятых интерфейсах и bind добавляю > правило, например на win.mail.ru:110 , то оно > отрабатывается нормально и особых тормозов я не замечал (сетка маленькая > и это вообще не сильно критично а для оптимизации запросы на конкретный > нужный порт можно вынести в отдельную цепочку, где и проводить > проверки). Проблемы (вполне объяснимые) создают попытки использовать > правила такого вида в iptables-save. Почему win.mail.ru? А не pop.mail.ru и smtp.mail.ru? Они имеют по одному IP, врядли меняются. Это для использования почтовых клиентов. Если веб-почта, то достаточно http-проксирования. > С той же самой почтой, например, можно разрешить пользователям > пользоваться, только почтой с яндекса, mail.ru и google > (исходящие на порты smtp, pop3, imap), а остальное закрыть в целях > борьбы с вирусами-спамерами. Но на один mail.yandex.ru > может приходиться несколько ip, которые могут > измениться в любой момент. После какого-то критического порога подобных > правил, следить за актуальностью ip руками будет слишком обременительно. > И, как ни следи, а смену адреса всё равно прозеваешь и получишь простой. Использовать прокси, там и определять что можно. > Не падение линка, а ifdown, ifup (у меня сейчас на сервере периодически > повисает внешний интерфейс. Проблема скорее всего в мат. плате, уже > готовится другой сервер ему на замену, но пока суть да дело... Не > перезагружать же из-за этого весь сервер.). ipmp (для Солярки), для Linux попробовать bonding (вторую сетевую карточку), режим Active-backup. -- Anton Kvashin