Народ, поможите понять такую феньку... Есть файрвол с тремя сетевухами: одна торчит в инет, вторая - в ДМЗ. третья - в локалку.
На ДМЗ и в интернет имеются реальные АйПи...
Как делать доступ из локалки куда-либо --- тут все понятно.
Но как сделать доступ из инета в ДМЗ -- недогоняю...
Дело в том, что раньше все торчало наружу: и ДНС, и ФТП, и МЭЙЛ... А теперь с теми же ипами переносится в ДМЗ. Как же можно увидеть те ипы снаружи, если они напрямую не видны, а все прет через внешюю карточку роутера?
Схема, когда есть только один АйПи и ДМЗ на виртуальных адресах -- тут все ясно.
Дайте напуствие, плз... В инете встретил только второй случай, а мне надо первое...
Легче подавить первое желание, чем утолить все то, что следует за ним.
а в lartc не заглядывал?
помнится, что-то подобное там проскакивало.
а даже если не подобное, так примеров всяких хитрых заворотов трафика с помощью iproute и iptables - немало.
Т.е. была сеть с пригоршней внешних адресов, раскиданных по компам с сервисами. Все компы торчали напрямую в и-нет-е. Теперь часть компов прячем в ДМЗ. Хотим, чтобы обращение извне по их бывшим адресам доходили до них. Правильно я понял вопрос? Если "да", то задача решается очень просто.
Вариант 1. В ДМЗ ставим локальные адреса, а на маршрутизаторе все бывшие внешние адреса зарисовываем на внешнюю сетевуху. И рисуем static NAT с помощью стандартного iptables, аналогично тому, как ты выводишь клиентов в Интернет. Подстерегающая грабля - клиент из внутренней сети, обращаясь по внешнему имени сервиса получает балык на воротник. Решается в зависимости от того, где живет ДНС-сервер (внутри сети или вовне). Т.е. либо настройкой ДНС-сервера, живущего внутри (чтобы он внутреннему клиенту выдавал локальный адрес, а внешнему - внешний), либо (если ДНС внешний и дня него все клиенты равны) настройкой НАТ-а и на внутреннем интерфейсе.
Вариант 2. Простейший, но срабатывание зависит от того, какие внешние адреса у тебя есть и как настроен ближайший к тебе маршрутизатор провайдера. Просто-напросто включаешь маршрутизацию на своем пограничнике и пишешь в таблице роутинга маршруты в ДМЗ.
(Igor B. @ Пятница, 05 Августа 2005, 17:52) писал(а):Т.е. была сеть с пригоршней внешних адресов, раскиданных по компам с сервисами. Все компы торчали напрямую в и-нет-е. Теперь часть компов прячем в ДМЗ. Хотим, чтобы обращение извне по их бывшим адресам доходили до них. Правильно я понял вопрос? Если "да", то задача решается очень просто.
Понял правильно.
(Igor B. @ Пятница, 05 Августа 2005, 17:52) писал(а):Вариант 1. В ДМЗ ставим локальные адреса, а на маршрутизаторе все бывшие внешние адреса зарисовываем на внешнюю сетевуху. И рисуем static NAT с помощью стандартного iptables, аналогично тому, как ты выводишь клиентов в Интернет. Подстерегающая грабля - клиент из внутренней сети, обращаясь по внешнему имени сервиса получает балык на воротник. Решается в зависимости от того, где живет ДНС-сервер (внутри сети или вовне). Т.е. либо настройкой ДНС-сервера, живущего внутри (чтобы он внутреннему клиенту выдавал локальный адрес, а внешнему - внешний), либо (если ДНС внешний и дня него все клиенты равны) настройкой НАТ-а и на внутреннем интерфейсе.
Ентот вариант точно не катит, потому что кроме ДНС, который уже и так поделен на внешний и внутренний, есть еще и WWW, и почта.
(Igor B. @ Пятница, 05 Августа 2005, 17:52) писал(а):Вариант 2. Простейший, но срабатывание зависит от того, какие внешние адреса у тебя есть и как настроен ближайший к тебе маршрутизатор провайдера. Просто-напросто включаешь маршрутизацию на своем пограничнике и пишешь в таблице роутинга маршруты в ДМЗ.
(scorpio @ Пятница, 05 Августа 2005, 18:55) писал(а):
(Igor B. @ Пятница, 05 Августа 2005, 17:52) писал(а):Вариант 1. В ДМЗ ставим локальные адреса, а на маршрутизаторе все бывшие внешние адреса зарисовываем на внешнюю сетевуху. И рисуем static NAT с помощью стандартного iptables, аналогично тому, как ты выводишь клиентов в Интернет. Подстерегающая грабля - клиент из внутренней сети, обращаясь по внешнему имени сервиса получает балык на воротник. Решается в зависимости от того, где живет ДНС-сервер (внутри сети или вовне). Т.е. либо настройкой ДНС-сервера, живущего внутри (чтобы он внутреннему клиенту выдавал локальный адрес, а внешнему - внешний), либо (если ДНС внешний и дня него все клиенты равны) настройкой НАТ-а и на внутреннем интерфейсе.
Ентот вариант точно не катит, потому что кроме ДНС, который уже и так поделен на внешний и внутренний, есть еще и WWW, и почта.
Ну и что? Я же написал, как все это обманывается... А теоретически этот вариант более правильный. Тебе все равно надо трафик фильтровать, иначе смысла в ДМЗ нет. Так почему бы его и не "заНАТить" для повышения защищенности?
(scorpio @ Пятница, 05 Августа 2005, 18:55) писал(а):
(Igor B. @ Пятница, 05 Августа 2005, 17:52) писал(а):Вариант 2. Простейший, но срабатывание зависит от того, какие внешние адреса у тебя есть и как настроен ближайший к тебе маршрутизатор провайдера. Просто-напросто включаешь маршрутизацию на своем пограничнике и пишешь в таблице роутинга маршруты в ДМЗ.
Спасибо, люди добрые -- в нужно русло направили... А то меня уже клинить начало... Что надо было делать:
1) роутинг на файрволе
2) маршрутизация у прова
Самое обидное -- это сейчас сделал все на Юнихах, а потом через пару-тройку месяцев переносить на ПИКС-у....
Да помоги нам... :beer:
Легче подавить первое желание, чем утолить все то, что следует за ним.
Радуйся, что на ПИКС денег дают. Там все это делается более "по уму", чем в Линуксах. Только сразу требуй не меньше 515-го, а лучше (если сумеешь обосновать) - то 525-й. А то будешь с 506-м корячиться, а счастья не будет...
(Igor B. @ Среда, 10 Августа 2005, 13:25) писал(а):Радуйся, что на ПИКС денег дают. Там все это делается более "по уму", чем в Линуксах. Только сразу требуй не меньше 515-го, а лучше (если сумеешь обосновать) - то 525-й. А то будешь с 506-м корячиться, а счастья не будет...
:beer: 
