Форум русскоязычного сообщества Ubuntu


Получить помощь и пообщаться с другими пользователями Ubuntu можно
на irc канале #ubuntu-ru в сети Freenode
и в Jabber конференции ubuntu@conference.jabber.ru

Автор Тема: Сервер(1хeth0. forward запросов(почта) клиентов на конечный роутер. [РЕШЕНО]  (Прочитано 1418 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Brunen

  • Автор темы
  • Участник
  • *
  • Сообщений: 143
    • Просмотр профиля
Решение в этом сообщении

В спойлере - сама тема.
(Нажмите, чтобы показать/скрыть)
« Последнее редактирование: 05 Мая 2011, 06:48:10 от Brunen »

Оффлайн censor

  • Старожил
  • *
  • Сообщений: 1126
    • Просмотр профиля
роутер в бридж, линк поднять на сервере. не совсем ясно что за роутер, если adsl то его наличие оправдано в противном случае есго стоит убрать добавив на сервер еще одну сетевую и подключив интернет непосредственно на ubuntu.
поднять на сервере сквида (если требуется статистика и фильтрация для вэба), почту можно форвардить (натить) iptables напрямую.
« Последнее редактирование: 23 Апреля 2011, 06:51:30 от censor »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28334
    • Просмотр профиля
Как это видит iptables? Как ключ зажигания видит дорожное полотно? Никак не видит.
И вообще, iptables к маршрутизации пакетов имеет левое отношение. Повлиять может, но впрямую этим не занимается.
Как пакеты проходят по таблицам нетфильтра? http://www.docum.org/docum.org/kptd/
Как вашу сеть настроить? Разделить на две. В одной роутер, во второй клиенты. Или выкинуть роутер, правильно вам сказали.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Brunen

  • Автор темы
  • Участник
  • *
  • Сообщений: 143
    • Просмотр профиля
роутер в бридж, линк поднять на сервере. не совсем ясно что за роутер, если adsl то его наличие оправдано в противном случае есго стоит убрать добавив на сервер еще одну сетевую и подключив интернет непосредственно на ubuntu.
поднять на сервере сквида (если требуется статистика и фильтрация для вэба), почту можно форвардить (натить) iptables напрямую.

Да, забыл упомянуть. Роутер - железка Dlink Dir-320. На сервере стоит уже сквид с настроенным rejik'om - работает замечательно.
Плюсом на сервере крутятся: samba(шары предприятия, личные папки пользователей),dnsmasq(dns, dhcp). Делать роутером я его не собираюсь.




Пользователь решил продолжить мысль 23 Апреля 2011, 08:35:10:
Так, давайте сразу проясним:
Я сюда пришёл найти конкретные ответы на конкретные вопросы, а не рассматривать альтернативы.
Если б хотел альтернативного построения сети - задал бы соответствующий вопрос.
« Последнее редактирование: 23 Апреля 2011, 08:35:10 от Brunen »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28334
    • Просмотр профиля
Тебе дали конкретные ответы. Даже больше одного, на сколько я помню. Что НЕ понятно?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн drako

  • Старожил
  • *
  • Сообщений: 1422
    • Просмотр профиля
Делать роутером я его не собираюсь.
Вообще-то вы его уже сделали роутером:
1. Прописать у К шлюз С, чтобы в И не утекал неконтролируемый трафик - сделано!

Гарри Кашпировский

  • Гость
Цитировать
Роутер - железка Dlink Dir-320.
Цитировать
Сервер с одним eth0.
(Нажмите, чтобы показать/скрыть)
« Последнее редактирование: 23 Апреля 2011, 16:52:44 от KT315 »

Оффлайн Brunen

  • Автор темы
  • Участник
  • *
  • Сообщений: 143
    • Просмотр профиля
Ладно, от вас, господа нормальных ответов не получишь.

Офтоп, конечно же, но:
(Нажмите, чтобы показать/скрыть)

Оффлайн censor

  • Старожил
  • *
  • Сообщений: 1126
    • Просмотр профиля
а нахрена мне тратить свое время на построение костылей для вашей сети, был предложен нормальный вариант реализации построения сети офиса, вам он не нужен, соответственно мне нафиг не надо голову ломать над костылями и подпорками.

Оффлайн drako

  • Старожил
  • *
  • Сообщений: 1422
    • Просмотр профиля
Интересно, а с какой радости нам ломать за бесплатно голову над тем извращением что вы придумали?!

Оффлайн Brunen

  • Автор темы
  • Участник
  • *
  • Сообщений: 143
    • Просмотр профиля
Если хотите платно - идите в job.
Если не хотите ломать голову - пишите в других темах. Всё просто.

p.s. Давайте заканчивать впустую разговаривать.

Оффлайн drako

  • Старожил
  • *
  • Сообщений: 1422
    • Просмотр профиля
Если хотите платно - идите в job.
Если не хотите ломать голову - пишите в других темах. Всё просто.

p.s. Давайте заканчивать впустую разговаривать.

Для начала осознайте для каких целей этот форум. А за платно мы на работе голову ломаем(типа можете идти лесом со своими предложениями).

P.S. Вам уже дали советы - хотите ешьте, хотите нет.

Оффлайн Lion-Simba

  • Старожил
  • *
  • Сообщений: 1126
    • Просмотр профиля
Как я это вижу?
2. К делает запрос в The Bat(забрать почту) - и его запрос идёт на С, т.к. у К это шлюз по-умолчанию.
Далее, пришедший на С пакет подхватывает iptables и перенаправляет его на Р, который отправляет его в И
Собственно, на сервере нужно только включить форвардинг и всё. При условии, что iptables пусты (везде стоит политика ACCEPT), а основным шлюзом для сервера выступает роутер, то все приходящие на сервер пакеты (с интернетовским целевым адресом) будут маршрутизированы им в интернет через роутер.

Включить форвардинг:
echo 1 > /proc/sys/net/ipv4/ip_forward

И есть ещё один нюанс. По умолчанию в убунте включена отправка редиректов:
cat /proc/sys/net/ipv4/conf/all/send_redirects
Работает это так. Когда сервер получит от клиента пакет, направленный в интернет, он его честно отмаршрутизирует через роутер в инет. Но вместе с тем, сервер отправит клиенту специальный пакет (ICMP redirect), который предложит клиенту отправлять пакеты по кратчайшему пути, то есть напрямую на роутер минуя сервер (так как они фактически находятся в одной и той же сети). Поэтому, если клиент "послушается" такого редиректа, то больше вы пакетов от соответствующего клиента на сервере не увидите. :)

Чтобы избавиться от этого, есть несколько вариантов:
1) Исправить структуру сети как советовали выше (правильное решение);
2) Отключить "отправку редиректов" (фактически костыль).

Кроме вышеописанного нюанса, могут быть и другие. Скажем, в вашей схеме построения сети никто не запрещает клиенту самостоятельно поменять адрес шлюза на роутер и ходить в инет в обход сервера.
Оказываю индивидуальную платную техподдержку широкого профиля. Обращаться в ЛС или Jabber.

Оффлайн shumtest

  • Активист
  • *
  • Сообщений: 731
  • Это вам просто кажется...
    • Просмотр профиля
    • Блог Шумомера
Кроме вышеописанного нюанса, могут быть и другие. Скажем, в вашей схеме построения сети никто не запрещает клиенту самостоятельно поменять адрес шлюза на роутер и ходить в инет в обход сервера.
Решается включением фильтрации по маку на роутере

Оффлайн censor

  • Старожил
  • *
  • Сообщений: 1126
    • Просмотр профиля
Кроме вышеописанного нюанса, могут быть и другие. Скажем, в вашей схеме построения сети никто не запрещает клиенту самостоятельно поменять адрес шлюза на роутер и ходить в инет в обход сервера.
Решается включением фильтрации по маку на роутере
решается подменой мака у клиента и тогда начинаются проблемы доступа к серверу из-за дублирующихся маков.

 

Страница сгенерирована за 0.044 секунд. Запросов: 25.