все тот же iptables и перенаправление

0

0

Столкнулся с такой вот ситуевиной. Есть удаленный объект который находиться за 35-40 километров от центрального офиса. Связь с ним осуществляеться через радио-релейку, поток 2 мб/сек.Все это дело крутиться в одной общей локальной сети. На объекте порядком 70-ти компов. Трафик со стороны промбазы приличный. Соответственно поток в 2 мегабита не справляеться. Хочу снизить нагрузку между офисами. Тем более что на промбазе есть свой файл-сервак. Собрал комп с двумя сетевыми платами, надо сделать роутер как я понимаю. В головном офисе адресация 172.16.0.0 на промбазе 172.16.3.0. На офисном шлюзе маскарадинг между интерфейсами(жуть какая). Хочу убрать этот самый маскарадинг. Для пользователей промбазы требуеться всего два сервиса. POP и SMTP. Подскажите пожалуйста как настроить правила через iptables для проброса 110-го и 25-го портов. Перерыл кучу документации. Попробовал, ничего не получаеться. Только не пинайте пожалуйста по менам. На изучение iptables уйдет много времени. Просто подскажите что и как нужно делать пожалуйста.

Ссылка

←	ssh port forwarding

[vm] синхронизация клонов виртуальных машин.

→

не понимаю, как можно снизить нагрузку на канал с помощью проброса портов. у удаленного офиса есть какой-нибудь еще канал, или как?
в любом случае зачем пробрасывать порты iptables-ом, если для этого есть куча более простых и человеческих способов. например rinetd.

Komintern ★★★★★
(19.05.09 11:28:27 MSD)

Ответ на: комментарий от Komintern 19.05.09 11:28:27 MSD

Со стороны базы идет трафик от всех компьютеров сразу. Хочу поставить роутер. Тоесть со стороны офиса до удаленного объекта будет идти всего один интерфейс а не 70.

dyahan
(19.05.09 11:37:01 MSD) автор топика

Ответ на: комментарий от dyahan 19.05.09 11:37:01 MSD

ну поставь rinetd, порты умеет пробрасывать. а лучше вообще NAT сделай

Komintern ★★★★★
(19.05.09 12:45:41 MSD)

Ссылка

Если нужно пробросить всего пару портов, то иптаблес можно не использовать, достаточно ssh
Делаем на роутере который на объекте от рута (можно и не рутом, но порт тогда будет другой, выше 1000):
ssh -L 110:ip_почтовика_в_офисе:110 user@ip_шлюза_в_офисе

После чего 110 порт офисного почтовика будет доступен на 110 порту роутера на объекте. Также можно поиграться со сжатием потока.

Также нужно будет курить autossh но это уже мелочи.

kilolife ★★★★★
(19.05.09 13:33:51 MSD)

Ответ на: комментарий от kilolife 19.05.09 13:33:51 MSD

У меня на объекте машин где-то 70 а то и больше. За некоторыми по несколько человек работают и у каждого своя почта есть на офисном сервере.

dyahan
(19.05.09 17:39:21 MSD) автор топика

Ответ на: комментарий от dyahan 19.05.09 17:39:21 MSD

Какая разница сколько машин на объекте. Хоть пятьсот.

kilolife ★★★★★
(19.05.09 18:44:51 MSD)

Ссылка

Я не совсем понял, какую схему вы хотите сделать. Если у вас канал загружается широковещательными пакетами и прочим "мусором", то надо ставить по машрутизатору с каждой его стороны. Зачем вам проброс портов? Если речь идет о доступе к почтовому серверу в головном офисе с компьютера на удаленном объекте, хватит и обычной маршрутзации.

>На офисном шлюзе маскарадинг между интерфейсами(жуть какая).

Однозначно, жуть. Маскарадинг назначается на интерфейс, как его засунули между?

mky ★★★★★
(19.05.09 21:05:05 MSD)

Ответ на: комментарий от mky 19.05.09 21:05:05 MSD

Попробую описать схему сети. Порядком 300 компов в головном офисе. Есть стоечный сервак достаточно мощный. Он служит в качестве маршрутизатора. На нем 4 сетевых интерфейса. eth0-внешка, eth1-172.16.0.0, eth2-172.16.1.0, eth3-172.16.3.0. Последний интерфейс отвечает за удаленный объект. Связь с этим объектом как я уже писал раньше осужествляеться путем радио-релея. Потоком в 2 мб/сек. Все широковещательные запросы и прочий мусор поступает всего лишь в один порт офисного свича. Хоть он и cisco но, всего 100 мб/сек. На серваке маршрутизатор который, такие строчки.

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE

Хотел сделать следующее. Убрать ко всем чертякам из конфига маскарадинг с интерфейса eth2 да и вообще из системы в целом. Сетке чуток дышать легче станет. Подключить в любой из портов офисного свитчика радио-релейный кабель. Пускай передает сигнал офисной сети на удаленный объект. Поставить на объекте комп. В одну из сетевых плат подключить опять таки радио-релейный в свою очередь приходящий уже кабель. Получаеться что коннект с головного офиса есть. Скажем айпишник из любой сети. Потом в тот же комп еще сетевую плату. Уже с местным айпишником сетки 172.16.3.0. Вот он и маршрутизатор получается. Сквиду я уже на нем настроил. Прокси прет нормально. Теперь остаеться пробросить или перенаправить 25-й и 110-й порты.

Ну вроде как объяснил, правда как мог. Может где и не прав или плохо рассказал. Не серчайте если что.

dyahan
(20.05.09 12:04:15 MSD) автор топика

Ответ на: комментарий от dyahan 20.05.09 12:04:15 MSD

Напутал с конфигом чуток.

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE

iptables -t nat -A POSTROUTING -o eth3 -j MASQUERADE

От последнего избавиться нужно.

dyahan
(20.05.09 12:49:25 MSD) автор топика

Ответ на: комментарий от dyahan 20.05.09 12:49:25 MSD

iptables -t nat -A PREROUTING -o eth3 -p tcp -m tcp --dport 110 -j DNAT --to-destination ${почтовый\ сервер} Оно?

~~power~~ ★
(21.05.09 08:02:26 MSD)

Ответ на: комментарий от dyahan 20.05.09 12:04:15 MSD

Не знаю, зачем был сделан MASQUERADE на eth3, да и на других локальных интерфейсах, вроде все должно работать без него, на маршрутизации, особенно если не нужна виндовая сетка, иначе на маршрутизаторе нужен WINS. И, без MASQUERADE серваку будет работать легче, а если ip-адреса статические, меняйте MASQUERADE на SNAT.

>Подключить в любой из портов офисного свитчика радио-релейный кабель.

Тогда в релейку пойдет "мусор" из офисной сети, а там всего 2 Мбит. ИМХО, лучше оставить стоечный сервак как маршрутизатор и оставить маршрутизатор на объекте. Задаете на eth3 сеть 172.16.4.0, офисному 172.16.4.1, объекту 172.16.4.2, прописваете маршруты: 172.16.3.0/24 -> 172.16.4.2 в офисе 172.16.0.0/23 -> 172.16.4.1 на объекте.

К какому серверу должны подключаться почтовые клиенты компьютеров удаленного объекта?

mky ★★★★★
(21.05.09 09:39:15 MSD)

Ссылка

Ответ на: комментарий от power 21.05.09 08:02:26 MSD

PREROUTING подразумевает "-i eth3", а не "-o eth3".

mky ★★★★★
(21.05.09 09:40:33 MSD)

Ответ на: комментарий от mky 21.05.09 09:40:33 MSD

Да, конечно, пардон.

~~power~~ ★
(21.05.09 11:56:36 MSD)

Ссылка

Ответ на: комментарий от power 21.05.09 08:02:26 MSD

iptables -t nat -A PREROUTING -i eth3 -p tcp -m tcp --dport 110 -j DNAT --to-destination ${почтовый\ сервер}

помогло, правда еще цепочку POSTROUTING добавил. 110 порт принимает почту.

Теперь выглядит все так. eth2 - 172.16.3.5 у всех на компах в почтовых клиентах 172.16.3.5. eth0 - 172.16.0.5 это уже офисная сетка. С ней связь осуществляеться через релейку. Как разрешить трафик по 25-му порту? Адрес почтовика офисной сети 172.16.0.3

dyahan
(02.06.09 12:03:54 MSD) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	ssh port forwarding

Admin

[vm] синхронизация клонов виртуальных машин.

→

Похожие темы