unixforum.org

Всем здравствуйте!

Оговорюсь сразу - поиск мучал, но конкретно того, что мне надо не нашел.

Что есть:
Машина с поднятым линуксом(DHCP, DNS, SAMBA) с шестью сетевухами, локальная сеть(~250 машин) из пяти сегментов. Соответственно пять кабелей (от каждого сегмента) лежит рядом с сервером.

Задача:
Каждый сегмент подключить к серверу к своей сетевухе, настроить маршрутизацию. Грубо говоря - превратить комп в пяти-портовый управляемый свитч, дабы можно было управлять сегментами.

Вопросы:
Есть ли готовые дистры для этого? (А-ля IPCOP, только для этих целей). Возможно ли это сделать средствами iptables? Какой возможный геморрой? Стоит ли так вообще делать?

Сразу оговорки:
Аппартные свитчи не предлагать. Знания в linux'е уверенные. Маны читаю с удовольствием. Английский не помеха (Если линками будуте угощать).

Какой возможный геморрой?

Высокая загрузка CPU сервера при активной передаче данных между сегментами. Скорость такой передачи ниже, чем могла бы быть.
Сетевые карты какие? Некоторые в этом плане лучше, некоторые хуже. Если "хуже", то приём/передача всего с одной-двух на максимальной скорости уже, займёт CPU под 100%.

Стоит ли так вообще делать?

Сказать невозможно, не зная ответа на вопрос...

Аппартные свитчи не предлагать.

...почему?

P.S.: и не смешивайте в кучу понятия "свитч" и маршрутизация. Первое подразумевает, что используется тупой мост из всех интерфейсов, без необходимости (и возможности) устанавливать на каждый из них в отдельности, к примеру, какие-то правила файрвола.

Благодарю за ответы.

rm_ писал(а): ↑

05.05.2009 12:21

Какой возможный геморрой?

Высокая загрузка CPU сервера при активной передаче данных между сегментами. Скорость такой передачи ниже, чем могла бы быть.
Сетевые карты какие? Некоторые в этом плане лучше, некоторые хуже. Если "хуже", то приём/передача всего с одной-двух на максимальной скорости уже, займёт CPU под 100%.

Это минус подобного решения.

rm_ писал(а): ↑

05.05.2009 12:21

Аппартные свитчи не предлагать.

...почему?

Денег нет

rm_ писал(а): ↑

05.05.2009 12:21

P.S.: и не смешивайте в кучу понятия "свитч" и маршрутизация. Первое подразумевает, что используется тупой мост из всех интерфейсов, без необходимости (и возможности) устанавливать на каждый из них в отдельности, к примеру, какие-то правила файрвола.

Возможно я неправильно выразился - мне нужен "тупой" свитч, с возможностью программно отключить какой-либо "порт" (в данном случае сетевой интерфейс), либо настроить правила iptables для этого "порта".

deespater писал(а): ↑

05.05.2009 15:39

Возможно я неправильно выразился - мне нужен "тупой" свитч, с возможностью программно отключить какой-либо "порт" (в данном случае сетевой интерфейс), либо настроить правила iptables для этого "порта".

В таком случае Вам подойдет любой дистрибутив, в котором смогут работать пакеты net-tools и iptables. :) На его настройку уйдет не больше времени, чем на настройку какого-нибудь специализированного дистрибутива.

Возможно я неправильно выразился - мне нужен "тупой" свитч

Значит подойдёт настройка интерфейсов в режиме моста, по-английски - bridge (google/man brctl).
С точки зрения сетей, ситуация ничем не будет отличаться от варианта, в котором их просто соединили обычным аппаратным свитчем.

, с возможностью программно отключить какой-либо "порт" (в данном случае сетевой интерфейс),

С bridge это можно делать.

либо настроить правила iptables для этого "порта".

А вот такое - нельзя. Разве что на самом простейшем уровне - закрыть такому-то мак-адресу проход в такую-то из соседних сетей, и т.д. Если правила необходимы более сложные - тогда придётся поднимать не бридж а роутер. man route, google "IP forwarding" и т. д. На порядок сложнее настройка и нагрузка на сервер. Кроме того, в подключенных сетях наверняка придётся менять настройку IP на всех компьютерах (разводить на разные подсети) и указывать ваш сервер в качестве шлюза.

rm_ писал(а): ↑

05.05.2009 15:53

А вот такое - нельзя. Разве что на самом простейшем уровне - закрыть такому-то мак-адресу проход в такую-то из соседних сетей, и т.д. Если правила необходимы более сложные - тогда придётся поднимать не бридж а роутер. man route, google "IP forwarding" и т. д. На порядок сложнее настройка и нагрузка на сервер. Кроме того, в подключенных сетях наверняка придётся менять настройку IP на всех компьютерах (разводить на разные подсети) и указывать ваш сервер в качестве шлюза.

Все сегменты уже в разных подсетях, сервер в качестве шлюза прописан. Из правил мне нужно грубо говоря, всего два. Закрыть/открыть всю подсеть. Закрыть/открыть определенный мак/ип с подсети.

deespater писал(а): ↑

05.05.2009 15:39

настроить правила iptables для этого "порта"

есть такая буква в этом слове. но называется не iptables, а ebtables (ethernet bridge tables). работает, соответственно, не на уровне ip, а на уровне mac.
используется обычно для управления трафиком между интерфейсами, объединёнными в ethernet bridge (с помощью brctl). но для примитивной фильтрации можно натравливать его и на интерфейсы, не входящие в bridge.