Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: Шлюз без NAT'a  (Прочитано 2082 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн allkex

  • Автор темы
  • Участник
  • *
  • Сообщений: 145
    • Просмотр профиля
Шлюз без NAT'a
« : 19 Февраль 2014, 08:01:36 »
Доброго времени суток товарищи! Необходимо реализовать следующую задачу.. Есть 2 сервера.. в один входит интернет (PPPOE) и выходит локаль. Необходимо Сделать так что бы На втором сервере и в локале появился интернет, а так же что бы инет раздавался в локаль, но не чеерез 1й сервачок а через 2й.. в общем чтоб весь трафик проскакивал через 1й(шлюз) На второй сервер ну а дальше там его уже можно разрулить.. на данный момент пытаюсь настроить сетевой мост на 1м сервере. мост поднял но без НАТа не обходиться.. Пождскажите пожалуйста как правильно реализовать...

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Шлюз без NAT'a
« Ответ #1 : 19 Февраль 2014, 08:29:56 »
А как Вы себе мост в этом случае представляете? Или у Вас есть второе подключение от провайдера?
Настраивайте отдельную межсерверную сетку (лучше VLAN-ами, но идеально отдельным проводом) и раздавайте интернет в локалку двойным NAT-ом.

Но что-то мне подсказывает, что Вы пытаетесь ректально ПЕРВИЧНУЮ задачу решить.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн allkex

  • Автор темы
  • Участник
  • *
  • Сообщений: 145
    • Просмотр профиля
Re: Шлюз без NAT'a
« Ответ #2 : 19 Февраль 2014, 09:12:49 »
Да, задача действительно не простая. Пчоему хочу убрать NAT с шлюза?  потому что на шлюзе хочу поставить несколько фаерволов + IPS и дабы NAT не напрягал систему и ядро в частности (потому что постоянно сыплятся сетевые атаки а при NATинге сильно няпрягается проц и ядро системы.) хочу перенести его на второй сервак. Так же не совсем удобно работать с NATом потому как на 2м сервере крутятся разные сервера(програмки) а так же сайты.. все бы ничего Но что бы разместить эти проги и сайты  за НАТом нужно знать на каких портах это все дело работает и т.п. Сайты то лаждно.. с ними все нормально.. а вот остальные проги.. выяснять постоянно на самом деле не очень хочется потому и решаю именно такую задачу. и для ее решения пишу именно на этом форуме!:)

Как я представляю себе мост:
Вообще в сетевых технологиях я очень не сильно разбираюсь) поэтому мост для меня это просто обьединение указанных интерфейсов в ОДИН. но тогда сразу возникает вопрос.. вот я объединил все интерфейсы в один, присвоил этому мосту ИП адрес.. далее в локале пишу на какой нито машине шлюзом этот ИП адрес моста и.. увы не рботает инет.. считаю что это связанно с PPOE соединением которое выдает провайдер.. был бы просто физичиский интерейс через который льется инет вопросов, думаю, было б меньше...
А на данный момент вот такая ситуация. и что делать.. честно говоря мозг кипит.. но думаю на данном форуме найдутся знающие люди который дадут дельный и правильный совет!:)

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Шлюз без NAT'a
« Ответ #3 : 19 Февраль 2014, 10:38:00 »
Задача "с тремя неизвестными". Если и решаема, то усилиями превышающими разумные.
Без NAT-а (для сервисов), Вы сможете решить ТОЛЬКО имея хотя бы ещё один адрес сети провайдера.
Для раздачи интернета в локальную сеть: либо NAT, либо прокси. Кстати, для выполнения именно этой задачи можно использовать и серый провайдерский адрес.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн allkex

  • Автор темы
  • Участник
  • *
  • Сообщений: 145
    • Просмотр профиля
Re: Шлюз без NAT'a
« Ответ #4 : 19 Февраль 2014, 10:41:18 »
Как именно можно использовать "серый" провайдерский адрес и как этот адрес можно узнать?:) опишите пожалуйста немного подробнее... ну.. в теории конечно для начала..

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Шлюз без NAT\'a
« Ответ #5 : 19 Февраль 2014, 10:57:35 »
Не, ну можно и "белый", я же не знаю всю ситуацию. Просто есть провайдеры, которые предоставляют доступ через серые адреса дешевле. На такие адреса и сетевые атаки мало когда проходят.
Идея в том, чтобы распределить клиентскую нагрузку и нагрузку на сервер предоставляюший сервисы. То есть на "белом" адресе ресурсы системы можно использовать исключительно для них и их зашиты.

Но ещё раз - Вы выбрали ректальный путь.
Ставьте шлюз, и используйте NAT. Как вариант снижения нагрузки - SNAT вместо MASQUERADE (ведь у Вас статический адрес). Мне кажется Вы преувеличиваете нагрузку, создаваемую клиентами.

А порты для портфорварда на сервисы... это надуманная проблема. Просто Вы ещё не пробовали разорбраться с этим. Поиск портов сводится к одной команде на сервере, ну и некоторые знания как работатют стандартные протоколоы

Пользователь решил продолжить мысль 19 Февраль 2014, 11:01:52:
Кроме того, можно тупо пробросить все порты на сервисный сервер. Сделать простейшую модель DMZ.
« Последнее редактирование: 19 Февраль 2014, 11:01:52 от fisher74 »
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн Karl500

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 2262
    • Просмотр профиля
Re: Шлюз без NAT'a
« Ответ #6 : 19 Февраль 2014, 11:30:22 »
пробросить все порты на сервисный сервер. Сделать простейшую модель DMZ.
Просто для полноты картины позволю себе уточнить: DMZ в общем случае не предполагает проброса всех портов внутрь зоны; DMZ предполагает запрет на доступ из зоны DMZ в локальную сеть.

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Шлюз без NAT'a
« Ответ #7 : 19 Февраль 2014, 12:13:47 »
Само определение DMZ да, именно так. Прошу простить меня за столь похабное отнесение этого варианта к DMZ. Но были случаи, что производители хоумроутров, описанный мной "трюк" называли именно DMZ. ))
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн allkex

  • Автор темы
  • Участник
  • *
  • Сообщений: 145
    • Просмотр профиля
Re: Шлюз без NAT'a
« Ответ #8 : 19 Февраль 2014, 12:59:40 »
Я умею пользоваться натом только в пределах iptables фаервола.. насколько я знаю iptables может держать до 2000 хостов в провилах DROP'a то есть забаненых.. а ситуации у меня случаются ой какие разные.. и еще к выше напичсанному.. стандартные протоколы я знаю. многие из них и порты я их тоже знаю наизусть.. НО проблема то вся в том что сервисы, крутящиеся на 2м сервере за шлюзом как раз таки НЕСТАНДАРТНЫЕ. и по поводу DMZ... а нафигм не DMZ когда внешний канал просто тупо заткнут атакой и никто не сможет ходить в инет.. в общем вот как то так...

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Шлюз без NAT'a
« Ответ #9 : 19 Февраль 2014, 13:18:14 »
А как же Вы защиту строите, если не знаете эти НЕСТАНДАРТНЫЕ ПОРТЫ?
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн allkex

  • Автор темы
  • Участник
  • *
  • Сообщений: 145
    • Просмотр профиля
Re: Шлюз без NAT'a
« Ответ #10 : 19 Февраль 2014, 13:27:03 »
нет. я немного не так выразился.. порты нестандартные то я знааю.. но там же иду еще куча всяких подключений которые идут не только по этим портам...ну допустим.. пошло соединение по порту 22 (ssh) обратное то соединение пойдет не по 22му а по какому то другому.. потому что 22й занят.. помоему так все описал..

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Шлюз без NAT'a
« Ответ #11 : 19 Февраль 2014, 13:30:56 »
Как раз по 22, только он будет source port.
Сложные протоколы типа ftp опускаем из обсуждения, но там тоже можно предопределить source port

Видимо, Вы всё-таки не совсем правильно понимаете работы сервисов по портам.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн Tokuan

  • Старожил
  • *
  • Сообщений: 1249
    • Просмотр профиля
    • В поисках здравого смысла
Re: Шлюз без NAT'a
« Ответ #12 : 19 Февраль 2014, 13:41:19 »
Подпишусь. Стало любопытно чего хочет ТС.
"— Милая, - сказал он, - у вас в голове пять тысяч маркетологов срали десять лет, а вы хотите, чтобы я там убрал за пять минут…"
Пелевин В.О "Empire V"

Оффлайн fisher74

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 13750
    • Просмотр профиля
Re: Шлюз без NAT'a
« Ответ #13 : 19 Февраль 2014, 13:50:45 »
ТС, словно наивное дитя, думает, что если его ддосят и netfilter первого шлюза ушёл в полный блок, то находящийся с ним в мосту(мостЕ - х.з. как правильно по-русски) будет продолжать раздавать интернет клиентам по забитому каналу.
Принимаю благодарности в WMR и WMZ на кошельки:
R158160676909 и Z313280060764

Оффлайн allkex

  • Автор темы
  • Участник
  • *
  • Сообщений: 145
    • Просмотр профиля
Re: Шлюз без NAT'a
« Ответ #14 : 19 Февраль 2014, 14:12:54 »
Стойте стойте стойте)) вы хотите сказать что, если кто то с одного ресурса, производит ДДОС атаку на второй удаленный ресурс то все? ресурс на который эта дос атака направлена умер?:)) И решением данной ситуации является только отключение от инета ресурса с которого производится ддос атака??:))

 

Страница сгенерирована за 0.068 секунд. Запросов: 24.