Провайдер подключает без NAT

[fisher74]

адреса указаны вручную на каждом хосте. узлов больше 800. расстояние между ними достигает 5 км.

На самом деле, для администрируемой сети ни первое, ни второе не такая большая проблема. Если это не так, то стоит задуматься.

это сделано давным-давно.

А это ещё один повод задуматься. Технологии не стоят на месте.

Хотя, конечно, это Вам решать (а может даже и не Вам)

[drako]

и что ты там надеешься увидеть?

Подтверждение вашим словам, а то уже столько наговорили...
И заодно к тому списку еще cat /proc/sys/net/ipv4/conf/all/rp_filter хотелось бы увидеть.

[teraflops]

адреса указаны вручную на каждом хосте. узлов больше 800. расстояние между ними достигает 5 км.

На самом деле, для администрируемой сети ни первое, ни второе не такая большая проблема. Если это не так, то стоит задуматься.

это сделано давным-давно.

А это ещё один повод задуматься. Технологии не стоят на месте.

Хотя, конечно, это Вам решать (а может даже и не Вам)

это не моя личная проблема. тема для меня стала интересной.
мне самому интересно, почему же вручную все указывалось. насоздавали себе проблем.

[AndreyGL]

teraflops, секундочку, вэб-сервер конторы Вашего масштаба является еще и шлюзом между сетями провайдера и копроративной? Так не бывает же.

Можете хотя бы в пэйнте нарисовать схему: бордер, сервер, коммутатор агрегации - адреса их интерфейсов и как это все  вообще соединено. А то действительно скатываемся в голословщину же.

Даже набросал бланк схемы, дорисовывайте недостающее.

[teraflops]

teraflops, секундочку, вэб-сервер конторы Вашего масштаба является еще и шлюзом между сетями провайдера и копроративной? Так не бывает же.

Можете хотя бы в пэйнте нарисовать схему: бордер, сервер, коммутатор агрегации - адреса их интерфейсов и как это все  вообще соединено. А то действительно скатываемся в голословщину же.

Даже набросал бланк схемы, дорисовывайте недостающее.

чего непонятного? схему не вижу, ибо захожу через телефон GPRS без картинок.
стоит Ubuntu 10.04 с двумя интерфейсами eth0 и eth1 с поднятым апаче и с маскарадингом.специально для вас люди даже соответствующую тему накатали https://forum.ubuntu.ru/index.php?topic=107492.0
eth0 видит интернет. eth1 видит сеть организации. простой NAT.
зачем 2 разных сервера если все это дело можно поместить в одну банку? с финансами итак туго.

[AndreyGL]

teraflops, секундочку, вэб-сервер конторы Вашего масштаба является еще и шлюзом между сетями провайдера и копроративной? Так не бывает же.

Можете хотя бы в пэйнте нарисовать схему: бордер, сервер, коммутатор агрегации - адреса их интерфейсов и как это все  вообще соединено. А то действительно скатываемся в голословщину же.

Даже набросал бланк схемы, дорисовывайте недостающее.

чего непонятного? схему не вижу, ибо захожу через телефон GPRS без картинок.
стоит Ubuntu 10.04 с двумя интерфейсами eth0 и eth1 с поднятым апаче и с маскарадингом.специально для вас люди даже соответствующую тему накатали https://forum.ubuntu.ru/index.php?topic=107492.0
eth0 видит интернет. eth1 видит сеть организации. простой NAT.
зачем 2 разных сервера если все это дело можно поместить в одну банку? с финансами итак туго.

Ошибка похоже в ментальном восприятии реальности. В одну банку засунуты 2 устройства с настолько разными назначениями: пограничный маршрутизатор сети из 800 рабочих станций + вэбсервер. Привет, 90е. И все равно я непонимат, как был сделан проект масштабной управляемой корпоративной сети с вланами-перделками-сопелками, и при этом тут же виден чисто пионерский подход "зачем 2 разных сервера если все это дело можно поместить в одну банку".

Насчет финансовой тугости - можно и не брать на бордер что-то вроде cisco2921 за over100Krur. Будет вполне достаточно RB1100 за ~12к. Если и эта сумма неподъемна, то RB2011LIN за ~3500р. Ну, или можете просто сходить и за личную 1к купить RB750, хотя это голимый soho-класс.
Ставите, настраиваете, забываете о его существовании. Насколько я понял у вас нет рутового пароля от сервера - значит бэкапите сайты и бд, переставляете Ubuntu, возвращаете бэкап, под болт крепления сервера к стойке поджимаете бирку "WebSrv".
Ах, не получится же - ваш сервер не в стойку вкручен, потому что это старый комп из кабинета начальника, на боку которого сохранились вмятины от острых носков туфель. [trollface]

[teraflops]

teraflops, секундочку, вэб-сервер конторы Вашего масштаба является еще и шлюзом между сетями провайдера и копроративной? Так не бывает же.

Можете хотя бы в пэйнте нарисовать схему: бордер, сервер, коммутатор агрегации - адреса их интерфейсов и как это все  вообще соединено. А то действительно скатываемся в голословщину же.

Даже набросал бланк схемы, дорисовывайте недостающее.

чего непонятного? схему не вижу, ибо захожу через телефон GPRS без картинок.
стоит Ubuntu 10.04 с двумя интерфейсами eth0 и eth1 с поднятым апаче и с маскарадингом.специально для вас люди даже соответствующую тему накатали https://forum.ubuntu.ru/index.php?topic=107492.0
eth0 видит интернет. eth1 видит сеть организации. простой NAT.
зачем 2 разных сервера если все это дело можно поместить в одну банку? с финансами итак туго.

Ошибка похоже в ментальном восприятии реальности. В одну банку засунуты 2 устройства с настолько разными назначениями: пограничный маршрутизатор сети из 800 рабочих станций + вэбсервер. Привет, 90е. И все равно я непонимат, как был сделан проект масштабной управляемой корпоративной сети с вланами-перделками-сопелками, и при этом тут же виден чисто пионерский подход "зачем 2 разных сервера если все это дело можно поместить в одну банку".

Насчет финансовой тугости - можно и не брать на бордер что-то вроде cisco2921 за over100Krur. Будет вполне достаточно RB1100 за ~12к. Если и эта сумма неподъемна, то RB2011LIN за ~3500р. Ну, или можете просто сходить и за личную 1к купить RB750, хотя это голимый soho-класс.
Ставите, настраиваете, забываете о его существовании. Насколько я понял у вас нет рутового пароля от сервера - значит бэкапите сайты и бд, переставляете Ubuntu, возвращаете бэкап, под болт крепления сервера к стойке поджимаете бирку "WebSrv".
Ах, не получится же - ваш сервер не в стойку вкручен, потому что это старый комп из кабинета начальника, на боку которого сохранились вмятины от острых носков туфель. [trollface]

умей различать бюрократическую невозможность с технической. я тут пришел не про политику говорить. оффтопер хренов. я за сайт и за сервер вообще не отвечаю. меня спросили, я подсказал. и тут параллельно выясняю детали.

[AndreyGL]

Контора муниципальная что-ли?

Да какая политика. Я в каждом своем посте этой темы пытаюсь помочь тебе с техническим решением. К сожалению, решить изначальную проблему имея бордер-сервер-2-в-одном невозможно. Почти. Вариант с установкой вэб-сервера в виртуалку и создание к нему третьего виртуального же интерфейса - это уж сильно хардкорный бдсм.

[koshev]

И все равно я непонимат, как был сделан проект масштабной управляемой корпоративной сети с вланами-перделками-сопелками

А где тут было про вланы? Перечитал не увидел.
Да и бугагагашеньки, тролль-тема: парк 800 хостов, а на границе вот такое чудо.

[fisher74]

парк 800 хостов, а на границе вот такое чудо.

И что? Не факт, что через это чудо все 800 хостов работают. Скорее всего единицы/десятки, а для их обеспечения этого железа за уши. Не мне Вам рассказывать, что чем крупнее корпоративная сеть, тем она более самодостаточна и независима от внешних ресурсов.

[teraflops]

Контора муниципальная что-ли?

Да какая политика. Я в каждом своем посте этой темы пытаюсь помочь тебе с техническим решением. К сожалению, решить изначальную проблему имея бордер-сервер-2-в-одном невозможно. Почти. Вариант с установкой вэб-сервера в виртуалку и создание к нему третьего виртуального же интерфейса - это уж сильно хардкорный бдсм.

контора муниципальная.
я уже неоднократно писал, что решение есть. еще в первом посте 2 способа решения. а вашу мысль про невозможность совмещения функций веб-сервера и шлюза доступа считаю необоснованным. технически это еще как возможно. одно другому никак не мешает.

[AndreyGL]

KT315, топикстартер явно указал на использование вланов:

адреса указаны вручную на каждом хосте. узлов больше 800. расстояние между ними достигает 5 км. используется vlan.  это сделано давным-давно. еще на этапе разработки сети. в это время я еще учился в школе. кроме того про это я уже написал на первом посте.

[offtop]
И да, уходи - в теме должен быть только один тролль. Иначе начнется откровенная тгавля же.
[/offtop]

Для обеспечения выхода во внешний мир самих рабочих станций - того чуда более чем достаточно. Но изначальная-то проблема ТС в чем - маршрутизация "рабстанции-инет-клиентыпровайдера-вэбсервер".

Кстати, а можно ведь сделать так:
eth0 - тырнеты
eth1 - корп сеть 192.168.0.0
eth1:1 - сеть вэбсервера 172.16.0.0

[koshev]

И что?

Конечно не факт. Более того, я знаю такие примеры, где приблизительно такое же количество станций получают доступ в мир подобным образом. Но я не знаю примеров таких масштабов, что бы еще на пограничном шлюзе ставили WEB, в этом я с AndreyGL согласен - "пионэрия" как она есть. И смешно же слышать, что у парка в восемьсот машин не найдется денег на более-менее приличный бордер сети.
Да, AndreyGL спасибо, увидел.

[alecsartania]

но абоненты провайдера подключаются к сайту организации через свой локальный адрес без NAT, который тоже из

Это как жто так если у вас нет адреса в локалке провайдера ? ПО какому же адресу у них резолвится ваш сервер?
Не должно быть такого. traceroute(tracert - win) до вашего сервера из вашей локалки провайдера нужно посмотреть  и нам показать.

[teraflops]

Это как жто так если у вас нет адреса в локалке провайдера ? ПО какому же адресу у них резолвится ваш сервер?
Не должно быть такого. traceroute(tracert - win) до вашего сервера из вашей локалки провайдера нужно посмотреть  и нам показать.

трассировка примерно будет такая. допустим клиент провайдера с адресом 192.168.24.52

Код: [Выделить]

192.168.24.1
192.168.255.254
195.42.154.1 (здесь трансляции адресов не происходит, 192.168.24.52 не изменится).
195.42.154.80 - ip-адрес сервера организации (вымышленный, на самом деле чуток другой, а то ублюдки начнут DoSSить). (сервер будет видеть адрес клиента 192.168.24.52, а не адрес какого-то шлюза. т.е. между ними нет NAT)
т.е. пакеты пределы сети провайдера не покинет.
Пользователь решил продолжить мысль 04 Мая 2012, 12:22:36:

И что?

Конечно не факт. Более того, я знаю такие примеры, где приблизительно такое же количество станций получают доступ в мир подобным образом. Но я не знаю примеров таких масштабов, что бы еще на пограничном шлюзе ставили WEB, в этом я с AndreyGL согласен - "пионэрия" как она есть. И смешно же слышать, что у парка в восемьсот машин не найдется денег на более-менее приличный бордер сети.
Да, AndreyGL спасибо, увидел.

дополнительный сервер получить можно. но на это уйдет год и нужно договариваться со всеми дятьками. бюджет-то уже сформирован. 800 это я преувеличил. от силы 600.
Пользователь решил продолжить мысль 04 Мая 2012, 12:23:32:

Кстати, а можно ведь сделать так:
eth0 - тырнеты
eth1 - корп сеть 192.168.0.0
eth1:1 - сеть вэбсервера 172.16.0.0

зачем еще одна подсеть для вебсервера?
p.s. vlan обеспечивается провайдером издавна. с точки зрения организации, все работает так, как будто все узлы подключены к одному коммутатору. что собственно и нужно от vlan
ps.ps. прошу не путать vpn от vlan если кто путает.