forum.opennet.ru

Составление сообщения

Исходное сообщение

"Red Hat займет место в S&P 500"
Отправлено dry, 20-Июл-09 20:36

лехко.
исходные
1. три внешних канала (e1, e2, e3), у каждого 1 белый ip.
2. три логических dmz, для каждого внешнего канала, при падении одного по остальным машины в dmz должны быть доступны. ну и нужен не просто порт-форвардинг, а еще и доступ в инет для самих машин в dmz
3. через этот же роутер организуется выход в интернет для внутренней корпоративной сети по следующему принципу.
3а) часть трафика заворачивается на e2, часть трафика заворачивается на e3, остальное уходит на шлюз по умолчанию (в нормальной[неаварийной] ситуации - e1).
3б) если канал на который смотрит шлюз по умолчанию дохлый, для шлюза по умолчанию выбирается следующий по принципу rr (round-robin).
3с) если какой-то из каналов (e2, e3), на который часть трафика завернута явно падает, перенаправлять его на текущий шлюз по умолчанию.
п3 делается достаточно легко, хоть может и выглядит замысловато.
собственно из сложного тут п2, т.к. появляется полиси-роутинг, да еще и с несколькими таблицами маршрутизации для каждой dmz, как в прямом, так и в обратном направлении.
можно ли это сделать на дебиан? да думаю можно, вопрос в том, какими усилиями.
в генту это делается в одном файлике conf.d/net лаконичным описанием.
upd1:
а, забыл добавить, еще мне дико нравится их система с символьными ссылками в init.d
показательный пример - openvpn. собственно нормальная практика иметь несколько демонов с разными конфигами. а для режиме point-to-point это получается само собой. т.е. в /etc/openvpn появляются несколько файлов конфигурации. рестартануть какой-то один, не трогая весь сервис целиком (остальные экземпляры) в редхат невозможно вообще. там перезапускается только вся пачка. и если у вас например 10 экземпляров openvpn, то чтобы рестартануть один, приходится отламывать все. это дикость для "энтерпрайз решения" вам так не кажется? да и собственно вообще дикость.
в debian/ubuntu это можно сделать как
/etc/init.d/openvpn restart <configname>
в принципе - функционально, но по моему не красиво, плюс появляется объективная проблема - при старте системы init все равно выполнит
/etc/init.d/openvpn start
и стартанет вся пачка конфигов, а если нужно запускать только некоторые? обломс.
в gentoo есть скрипт /etc/init.d/openvpn, но само по себе он ничего не делает.
чтобы управлять конкретными экземплярами, создаются символьные ссылки. например имеем конфиг ovpn0.conf
делается
ln -s /etc/init.d/openvpn /etc/init.d/openvpn.ovpn0
добавляем в управление автозапуском/остановом
rc-update add openvpn.ovpn0 default
остальные конфиги при этом не трогаются и появляется возможность управлять каждой конфигурацией сервиса независимо.
это не только для openvpn, это и для сетевых интерфейсов и еще кое-где. openvpn привел в качестве наглядного примера.
и еще добавлю. с нетривиальными конфигурациями приходилось иметь дело достаточно давно. и первым дистрибутивом, где мне приспичило выбраться за рамки возможностей стандартной конфигурации была fedora3. тогда экспериментировал со спутниковым интернетом и тоже приходилось делать замысловатые вещи с двойным туннелированием и прочие такие штучки. я добился своего, но мне пришлось перепахать практически весь /etc/sysconfig/network-scripts, родного там мало осталось. спустя года полтора я попробовал генту и моему восхищению организацией конфигурации в ней не было предела. все чего мне пришлось добиваться перепахивая редхатовский network-script в генту делалось из коробки и даже элегантнее чем было у меня.

Исходное сообщение
"Red Hat займет место в S&P 500" Отправлено dry, 20-Июл-09 20:36
лехко. исходные 1. три внешних канала (e1, e2, e3), у каждого 1 белый ip. 2. три логических dmz, для каждого внешнего канала, при падении одного по остальным машины в dmz должны быть доступны. ну и нужен не просто порт-форвардинг, а еще и доступ в инет для самих машин в dmz 3. через этот же роутер организуется выход в интернет для внутренней корпоративной сети по следующему принципу. 3а) часть трафика заворачивается на e2, часть трафика заворачивается на e3, остальное уходит на шлюз по умолчанию (в нормальной[неаварийной] ситуации - e1). 3б) если канал на который смотрит шлюз по умолчанию дохлый, для шлюза по умолчанию выбирается следующий по принципу rr (round-robin). 3с) если какой-то из каналов (e2, e3), на который часть трафика завернута явно падает, перенаправлять его на текущий шлюз по умолчанию. п3 делается достаточно легко, хоть может и выглядит замысловато. собственно из сложного тут п2, т.к. появляется полиси-роутинг, да еще и с несколькими таблицами маршрутизации для каждой dmz, как в прямом, так и в обратном направлении. можно ли это сделать на дебиан? да думаю можно, вопрос в том, какими усилиями. в генту это делается в одном файлике conf.d/net лаконичным описанием. upd1: а, забыл добавить, еще мне дико нравится их система с символьными ссылками в init.d показательный пример - openvpn. собственно нормальная практика иметь несколько демонов с разными конфигами. а для режиме point-to-point это получается само собой. т.е. в /etc/openvpn появляются несколько файлов конфигурации. рестартануть какой-то один, не трогая весь сервис целиком (остальные экземпляры) в редхат невозможно вообще. там перезапускается только вся пачка. и если у вас например 10 экземпляров openvpn, то чтобы рестартануть один, приходится отламывать все. это дикость для "энтерпрайз решения" вам так не кажется? да и собственно вообще дикость. в debian/ubuntu это можно сделать как /etc/init.d/openvpn restart <configname> в принципе - функционально, но по моему не красиво, плюс появляется объективная проблема - при старте системы init все равно выполнит /etc/init.d/openvpn start и стартанет вся пачка конфигов, а если нужно запускать только некоторые? обломс. в gentoo есть скрипт /etc/init.d/openvpn, но само по себе он ничего не делает. чтобы управлять конкретными экземплярами, создаются символьные ссылки. например имеем конфиг ovpn0.conf делается ln -s /etc/init.d/openvpn /etc/init.d/openvpn.ovpn0 добавляем в управление автозапуском/остановом rc-update add openvpn.ovpn0 default остальные конфиги при этом не трогаются и появляется возможность управлять каждой конфигурацией сервиса независимо. это не только для openvpn, это и для сетевых интерфейсов и еще кое-где. openvpn привел в качестве наглядного примера. и еще добавлю. с нетривиальными конфигурациями приходилось иметь дело достаточно давно. и первым дистрибутивом, где мне приспичило выбраться за рамки возможностей стандартной конфигурации была fedora3. тогда экспериментировал со спутниковым интернетом и тоже приходилось делать замысловатые вещи с двойным туннелированием и прочие такие штучки. я добился своего, но мне пришлось перепахать практически весь /etc/sysconfig/network-scripts, родного там мало осталось. спустя года полтора я попробовал генту и моему восхищению организацией конфигурации в ней не было предела. все чего мне пришлось добиваться перепахивая редхатовский network-script в генту делалось из коробки и даже элегантнее чем было у меня.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> лехко.
> исходные 
> 1. три внешних канала (e1, e2, e3), у каждого 1 белый ip. 
 
> 2. три логических dmz, для каждого внешнего канала, при падении одного по 
> остальным машины в dmz должны быть доступны. ну и нужен не 
> просто порт-форвардинг, а еще и доступ в инет для самих машин 
> в dmz 
> 3. через этот же роутер организуется выход в интернет для внутренней корпоративной 
> сети по следующему принципу.
> 3а) часть трафика заворачивается на e2, часть трафика заворачивается на e3, остальное 
> уходит на шлюз по умолчанию (в нормальной[неаварийной] ситуации - e1).
> 3б) если канал на который смотрит шлюз по умолчанию дохлый, для шлюза 
> по умолчанию выбирается следующий по принципу rr (round-robin).
> 3с) если какой-то из каналов (e2, e3), на который часть трафика завернута 
> явно падает, перенаправлять его на текущий шлюз по умолчанию.

> п3 делается достаточно легко, хоть может и выглядит замысловато.
> собственно из сложного тут п2, т.к. появляется полиси-роутинг, да еще и с 
> несколькими таблицами маршрутизации для каждой dmz, как в прямом, так и 
> в обратном направлении.

> можно ли это сделать на дебиан? да думаю можно, вопрос в том, 
> какими усилиями.
> в генту это делается в одном файлике conf.d/net лаконичным описанием.

> upd1: 
> а, забыл добавить, еще мне дико нравится их система с символьными ссылками 
> в init.d 
> показательный пример - openvpn. собственно нормальная практика иметь несколько демонов 
> с разными конфигами. а для режиме point-to-point это получается само собой. 
> т.е. в /etc/openvpn появляются несколько файлов конфигурации. рестартануть какой-то один, 
> не трогая весь сервис целиком (остальные экземпляры) в редхат невозможно вообще. 
> там перезапускается только вся пачка. и если у вас например 10 
> экземпляров openvpn, то чтобы рестартануть один, приходится отламывать все. это дикость 
> для "энтерпрайз решения" вам так не кажется? да и собственно вообще 
> дикость.
> в debian/ubuntu это можно сделать как 
> /etc/init.d/openvpn restart <configname> 
> в принципе - функционально, но по моему не красиво, плюс появляется объективная 
> проблема - при старте системы init все равно выполнит 
> /etc/init.d/openvpn start 
> и стартанет вся пачка конфигов, а если нужно запускать только некоторые? обломс.

> в gentoo есть скрипт /etc/init.d/openvpn, но само по себе он ничего не 
> делает.
> чтобы управлять конкретными экземплярами, создаются символьные ссылки. например имеем 
> конфиг ovpn0.conf 
> делается 
> ln -s /etc/init.d/openvpn /etc/init.d/openvpn.ovpn0 
> добавляем в управление автозапуском/остановом 
> rc-update add openvpn.ovpn0 default 
> остальные конфиги при этом не трогаются и появляется возможность управлять каждой конфигурацией 
> сервиса независимо.
> это не только для openvpn, это и для сетевых интерфейсов и еще 
> кое-где. openvpn привел в качестве наглядного примера.

> и еще добавлю. с нетривиальными конфигурациями приходилось иметь дело достаточно давно. 
> и первым дистрибутивом, где мне приспичило выбраться за рамки возможностей стандартной 
> конфигурации была fedora3. тогда экспериментировал со спутниковым интернетом и тоже приходилось 
> делать замысловатые вещи с двойным туннелированием и прочие такие штучки. я 
> добился своего, но мне пришлось перепахать практически весь /etc/sysconfig/network-scripts, 
> родного там мало осталось. спустя года полтора я попробовал генту и 
> моему восхищению организацией конфигурации в ней не было предела. все чего 
> мне пришлось добиваться перепахивая редхатовский network-script в генту делалось из коробки 
> и даже элегантнее чем было у меня.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру