|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Yar Tikhiy 2:5020/118 27 Mar 2000 13:46:31
To : "Shamil Dautov"
Subject : Re: Очень нужна помощь по настройке сервера и ИHЕТА (начальство иначе з
--------------------------------------------------------------------------------
загрызет :-(( )
Hi Shamil,
Shamil Dautov <asu@bspu.ru> wrote:
SD> А условия задачи такие:
SD> а) ___________что имеем ______________
SD> 1) провайдер выделил подсетку реальных IP-адресов XXX.XXX.XXX.88 по 93
SD> маска 255,255,255,248
SD> 2) есть ISDN-канал от провайдера
SD> 3) канал заведен на роутер Pipeline-75 (что-то вроде CISCO) (один IP-адрес
SD> XXX.XXX.XXX.89)
SD> 4) Pipeline (IP-адрес XXX.XXX.XXX.90) через витую пару заведен на сервер
SD> FreeBSD-3.4 (10 Мбитная карта) (IP-адрес XXX.XXX.XXX.90)
SD> 5) Hа сервере установлен SQUID-прокси (IP-адрес соответственно сервера
SD> XXX.XXX.XXX.90). SQUID использует DNS-сервер провайдера (IP-адрес
SD> XXX.XXX.XXX.1 )
SD> 6) Сервер через вторую сетевую карту выведен на внутреннюю сеть (100 Мбит)
SD> IP-адрес 193.222.225.130 (193.222.225.1 -занят другим внутренним
SD> сервером-шлюзом (т.к. есть еще одна сеть 193.222.226.0)) внутренние сети
SD> 193.222.225.0 и 193,222,226,0 работают нормально.
SD> Сервер работает нормально. Hа данный момент с внутренних сетей можно выйти
SD> в
SD> Инет, если использовать DNS провайдера.
SD> б) ___________Что нужно________
SD> 1) нужен ли роутер на FreeBSD-сервере, если да какой и как его настроить
Если я правильно понимаю ситуацию, то у твоей организации 2 провайдера
и, соответственно, 2 сети из разных блоков. В такой ситуации вы не
сможете ходить с адресами одного isp через канал второго. Теоретически
есть 3 пути. Первый (отдать сети обратно и получить provider
independent блок в RIPE, который просто так не дадут, а придется
платить Euro и регистрировать LIR) рассматривать не будем :-)
Второй - это на той самой FreeBSD-3.4 поставить Squid, Socks5, TIS
fwtk и еще каких-нибудь proxy (по необходимости) и дать возможность
пользователям самим выбирать, через какой канал работать.
При этом ip forwarding не нужен.
В случае Squid можно и не давать пользователям такого права, а
распределить web и ftp трафик, создав иерархию из двух proxy (можно
даже на одной машине, но тогда понадобится policy routing, так как
default route один), с адресами из разных блоков. Один squid будет
принимать запросы пользователей и в зависимости, например, от домена
или AS запрашивать сам через канал 1 или просить взять объект
другого squid через канал 2.
Третий - к п. 2 добавить еще NAT, чтобы можно было пускать через
канал 2 и другие сервисы. Тогда ip forwarding нужен, нужен еще
какой-то NAT (natd или ipfilter). Включается в простейшем случае
это так в /etc/rc.conf:
===
gateway_enable="YES"
natd_enable="YES"
natd_interface="ed0" # тот, что 10 Mbit
===
Как при этом делить трафик - вопрос хитрый и требует рассмотрения
конкретной ситуации.
SD> 2) нужен ли DNS-сервер, если да как его настроить (если возможно то файл
SD> конфигурации (на старом FreeBSD сервере было, но его формат отличается от
SD> нового - не могу найти доку на новый конфиг в литературе старый вариант))
SD> .Провайдер при надобности обещает открыть свой DNS-сервер XXX.XXX.XXX.1 для
SD> скачивания файлов с его зоной.
Если твоя организация сама держит свою зону, то на новой FreeBSD стоит
поднять secondary. Если же нет, то просто полезно поднять BIND для
кэширования DNS, а на пользовательских машинах указать 2 DNS сервера.
Делается это элементарно:
в /etc/rc.conf
named_enable="YES"
named_flags="-u bind -g bind"
в /etc/namedb/named.conf все оставляется как есть, только в forwarders
полезно добавить адрес DNS сервера нового провайдера.
Если надо завести secondary, то добавляется вот что:
zone "domain.ru" {
type slave;
file "s/domain.ru.bak";
masters {
ip.адрес.вашего.ns;
};
};
Это есть в закомментированных примерах.
SD> 3) Как настроить sendmail?
Зависит от того, чего хочется. В простейшем случае конфиг берется
стандартный, а в DNS добавляется еще один MX на адрес XX.XX.XX.90.
Теперь надо дать sendmail понять, для каких адресов можно релеить
почту. Сейчас в стандартном конфиге сказано, что релеить можно для
всех адресов, MX на которые стоит на нас, так что ничего делать не
надо, но на будущее расскажу как это делается.
В /etc/mail/relay-domains добавляется имя вашего домена и ваши сети.
Из-за некой специфики сети, не кратные 8 бит, добавляются, как набор
подсетей, кратных 8:
my-domain.ru
193.222.225
193.222.226
XXX.XXX.XXX.89
XXX.XXX.XXX.90
XXX.XXX.XXX.91
XXX.XXX.XXX.92
XXX.XXX.XXX.93
XXX.XXX.XXX.94
Если внутри у вас там роутинг настроен, то при падении канала 1
почта пойдет через канал 2 на новую FreeBSD, а с нее по внутренней
сети - на старую. А если приоритеты у MX будут равные, до даже некий
load balancing будет, AFAIK :-)
SD> Очень нужна помощь. При возможности с подробным описанием и желательно с
SD> учетом моих данных (а может кто конкретно пришлет файлы конфигураций для
SD> моих условий хотя бы для DNS-сервера (а то я запутался в первичных и
SD> вторичных зонах, в прямых и обратных :-(( )
А чего в них путаться? Первичными и вторичными бывают dns сервера по
отношению к конкретной зоне. Первичный - на котором лежит файл зоны.
Вторичные - берут с первичного этот файл и хранят его копию, обновляя
по мере изменения файла на первичном сервере (точнее, по мере увеличения
его serial).
Прямая зона описывает преобразование имен в адреса и содержит записи
типа SOA (1 шт.), NS, A, MX, CNAME. Обратная зона описывает преобразование
адресов в имена и содержит записи SOA (1 шт.), NS, PTR и CNAME.
Прямой домен делегируется "хозяином" домена более высокого уровня.
Обратный домен обычно делегируется тем, кто выдавал блок адресов.
SY, Yar
--- ifmail v.2.15dev4
* Origin: Chemistry Dept. of Moscow State University (2:5020/118)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
Re: Очень нужна помощь по настройке сервера и ИHЕТА (начальство иначе з |
Yar Tikhiy |
27 Mar 2000 13:46:31 |
|
|
