LINUX.ORG.RU
ФорумAdmin

Хитрая настройка маршрутизатора


0

0

Имеется маршрутизатор с тремя сетевыми интерфейсами.

0 - внутренняя сеть
1 - инет
2 - спецканал, инет

RH-7.3, ядро 2.4.26, используется ipchains, squid, apache. Компьютеры из внутренней сети посредством маскарадинга лазают через первый интерфейс в инет.

Задача минимум:
Сделать так, чтобы машины из внутренней сети продолжали обмениватся информацией с внешним миром через 1й интерфейс, а запускаемые на маршрутизаторе служебные программы (не серверы, клиенты), связывались со внешним миром исключительно через 2й интерфейс.

Задача максимум:
Задача минимум + работа запущенных на машине squid и apache исключительно через первый интерфейс.


Предполагаю, что можно создать правило, согласно которому пакет установки TCP соединения с локального адреса будет отправляться на 2й интерфейс. Но тогда под это правило попадёт и squid. Как лучше сделать?

Re: Хитрая настройка маршрутизатора

DMZ?

anonymous ()

Re: Хитрая настройка маршрутизатора

пакетики из внутренней сети маркировать и маркированное рулить на второй интерфейс. Всё немаркированное (как-раз остаются все локальные сервисы) пускать через первый.

MKuznetsov ★★★★★ ()

Re: Хитрая настройка маршрутизатора

Задача минимум:
ip route del default
ip route add default via $спецканал_GW dev $спецканал_eth2
ip route add default via $инет_GW dev $инет_eth1 table 100
ip rule add dev $внутренняя_сеть_eth0 table 100
(или ip rule add from $внутренняя_сеть/24 table 100)
ip route flush cache

Задача максимум:
для squid и apache сделать bind на $инет_eth1_IP, добавить правило:
ip rule add from $инет_eth1_IP table 100

По идее должно работать :-)

spirit ★★★★★ ()
Ответ на: Re: Хитрая настройка маршрутизатора от spirit

Re: Хитрая настройка маршрутизатора

Спасибо за советы.
К сожалению, все рекомендации подразумевают использование iptables, а у меня всё на ipchains работает. И заменить на iptables не могу, т.к. система расчёта трафика писалась именно под ipchains, а в iptables я даже не знаю как посмотреть трафик по определённому правилу.

ANONYMOUS ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.