|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Michael Kolomiets 2:5020/400 07 Mar 2002 19:42:24
To : All
Subject : Hесколько вопросов по ipfw, natd, etc
--------------------------------------------------------------------------------
Привет!
Возник прецендент - в контору поднять нормальный инет с белым адресом,
115200 б/с на Сириусах (кто в Киеве, должны знать - ЛакиЛайн).
Выбор оски в качестве шлюза (гейта, файервола, не знаю что правильно) пал на
эхотаг. В пределах локалки с доступом из вне, предполагается наличие www и
smtp хостов, причем из бокса на ВВВ-хост идет отдельная от общего лана
сетевуха. Почитавшись немного док и манов по сабжам и около них, начал
задаваться вопросами, кои и доношу до внимания уважаемго коллектива, мож кто
в чем просветит:
Чисто пара оффтопичных теоретических вопросов.
1. Кто с Сириусами дело имел, что это за зверь, и как оный с точки
подключения выглядит, как простой момед или нет?
2. Если канал декларируется как 115200, верно ли то, что одновременно будет
(в дуплексе) 115200 в обе стороны (про физические характеристики линии сам
понимаю, та что чисто теоретически).
3. Кого лучше использовать юзер-ппп или демона. В последствии на этой же
машине через модемный пул будут раздаватся коннекты ppp|uucp.
4. В чем разница между бриджем и гейтевеем (это после man ipfw), и что более
юзабельно, с точки зрения данной ситуации.
5. В чем в эхотаге разница между понятиями firewall & ipfilter с точки
зрения применения (в rc.conf отдельные ключи конфигурации).
6. Попадалась нескоько раз фраза о нежелательности дропанья пакетов с
одновременно установленными флагами СИH+ФИH, как агрумент приводилось
то, что не весь софт будет нормально работать. Когда могут возникать такие
пакеты.
Теперь более по существу, некоторые весчи я уже сам но по отдельности
пробовал настроить, а когда начал сгребать все в кучу то полезли вопросы:
6. Hадо из инета заткнуть все окромя http и smtp, да и те прокинуть на
машины из серой сети. При этом надо порезать траффик так чтобы www хост
получал свою отдельную трубу на вход и выход, а юзверя свою для шорканья по
инету.
7. Стоит ли рубить ICMP на входе, и вообще что стоит рубить, а что нет.
8. Кто как решает вопрос прозрачного проксирования (сквид с натом) с учетом
того что бывают часто урлы с портами типа 8081, 7001 етс. Есть ли
возможность как то анализировать протокол пакета на уровне сервиса (типа
http, ftp, smtp, etc) для данного случая и рулить их потом.
9. Будет ли нат привязян к одному интерфейсу (ппп), и можно ли при этом
одновременно пробрасывать мне узверей которые из локалки в инет ходят на
сквид (то биш рулить другой интерфейс, или м. б. для каждого интерфейса
стартовать свой инстанс натд, тогда как определить для них отдельные
конфигурации).
10. Почему в статьях по настройке натд с ipfw надо выключать нат в ппп, чем
они друг другу мешают.
11. Как настроить редирект в нате там или еще что то кроме как ключами
коммандной строки. Можно ли выразить ключ типа
'-redirect_port tcp gray.net.host:http http' (и подобные) в рулесах ipfw для
natd или надо использовать -config для ната.
Hу, я думаю, для первого раза достаточно, м.б. надумаю еще ;)
Зараннее спасибо.
--
С уважением, Михаил.
--- ifmail v.2.15dev5
* Origin: Akcecc ISP News Server (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
