LINUX.ORG.RU

Прозрачный брандмауэр с маршрутизатором. Тестовая лаборатория

 , , ,


2

2

В статье рассмотрено решение, требующееся при объединении прозрачного брандмауэра с маршрутизатором, используя утилиту ebtables и создание тестовой лаборатории на микродистрибутиве Linux, используя qemu и initrd на основе моей сборки busybox, включающей в себя ebtables, iptables, ssh(d), рекурсивного DNS и др.

>>> Статья полностью

★★★

Проверено: Shaman007 ()

брандмауэра

у меня это вызывает ассоциации с оффтопиком

mittorn ★★★★★ ()
Ответ на: комментарий от mittorn

Это же вполне технический термин, который в этом качестве использовался и используется без оглядки на оффтопик, которого в статье вообще нет.

vodz ★★★ ()
Ответ на: комментарий от vodz

ну так я заметил что статья не про оффтопик, но это слово создаёт неприятный оттенок

mittorn ★★★★★ ()
Ответ на: комментарий от mittorn

Хорошо, могу пойти на компромис: в новости указать файервол, а в статье не менять, ибо файервол - чистейший новомодный англицизм, более строгая русская документация предпочитает именно брандмауэр, хотя это и немецкий.

vodz ★★★ ()
Ответ на: комментарий от Pinkbyte

Я видел некоторое дерьмо.

А вообще по теме - на сколько я понимаю, этот огород потому что Juniper - дорого?

Shaman007 ★★★★★ ()
Ответ на: комментарий от Shaman007

По идее да. Но я сам на работе гоняю на десктопе пару network namespace-ов для конфигурации оборудования. Потому что никто в личное пользование девайс с VRF-ами мне не даст :-)

Pinkbyte ★★★★★ ()
Ответ на: комментарий от Pinkbyte

А у меня такой домашнюю сетку рулит )))) Overkill ужасный, естественно.

Shaman007 ★★★★★ ()
Ответ на: комментарий от Shaman007

У меня дома Mikrotik, но, как ты понимаешь, говорить что в нём полноценный VRF - сильно кривить душой :-)

Pinkbyte ★★★★★ ()

Посмотрел статью по диагонали, но так и не понял, зачем всё это автору. Ради экспериментов?

dimss ★★★★★ ()

Так это уникальное решение для конкретных нужд?

Venediktov ()

Лучше б что-нибудь про модный openvswitch, чем 20-летние баяны ворошить...

anonymous ()

еще одно подтверждение тому факту, что в юниксе можно применить туеву тучу средств для реализации стандартных и не очень задач
это ж прекрасно

kto_tama ★★★★★ ()
Ответ на: комментарий от Venediktov

Так это уникальное решение для конкретных нужд?

Вы вообще хотя бы предисловие читали? Что там уникального?

vodz ★★★ ()
Ответ на: комментарий от anonymous

Лучше б что-нибудь про модный openvswitch, чем 20-летние баяны ворошить...

openvswitch без реализации в железе такой же виртуальный на поиграться девайс. Было б интересно послушать, какое применение его может заинтересовать в виде программной реализации не вендоров, делающих его в железе.

vodz ★★★ ()

Занятный малюсенький трюк: почему так любят адреса 192.168.X.Y? А потому что это адреса класса C, нам не придётся указывать маску в командах ifconfig

После этой наркомании читать дальше не стал.

vblats ()
Ответ на: комментарий от vblats

Да, вероятно, это лишнее. :) Будете настаивать, убедите, уберу. На самом деле не хотелось рассписывать основную причину: пришлось бы делать еще один конфигурационный файл, где будут указаны не только адреса (а такого конфига из-за трюка с mac и hosts и нет), но и маски. И тут уже не выкрутишься, конфиг такой понадобится, либо харкодить /24 для других серых адресов, которые не класса C.

vodz ★★★ ()
Последнее исправление: vodz (всего исправлений: 3)
Ответ на: комментарий от vodz

Та не. Это инфа добавляет колорита =) Пусть буит, читаю дальше))

vblats ()

Это вы один все сделали? Если да, то хвала вам!

Odalist ★★★★★ ()
Ответ на: комментарий от Odalist

Это вы один все сделали?

Когда есть 20-летние наработки, то самое нудное в этом деле было написать статью :)

vodz ★★★ ()
Ответ на: комментарий от anonymous

Изучить, конечно, не помешает. Но что ж он такой монстр...

vodz ★★★ ()

между прочим многие крупные компании делают l2 сети.

ne-vlezay ★★★★ ()

Ничего не понтяно

А что мешало просто воткнуть линк от нового провайдера в ваш старый маршрутизатор, перенастроить подключение и жить дальше также, как 20 лет до этого?

anonymous ()
Ответ на: комментарий от ne-vlezay

между прочим многие крупные компании делают l2 сети

Эээ, а это что-то необычное? Или имеется в виду туннелирование L2?

vodz ★★★ ()
Ответ на: Ничего не понтяно от anonymous

А что мешало просто воткнуть линк от нового провайдера в ваш старый маршрутизатор, перенастроить подключение и жить дальше также, как 20 лет до этого?

Ну вот приходит к вам оптика. Куда чего переткнуть, если её можно только воткнуть и согласиться с тем, что cisco-рутером провайдера вам управлять никто не даст, ни pppoe тоже не хотят давать?

vodz ★★★ ()
Ответ на: комментарий от vodz

Я так понял, что новый провайдер выделил вам как минимум один белый IP, нет?

anonymous ()
Ответ на: комментарий от anonymous

По одному (как в прочем и всегда) в филиалах. Ладно, а теперь трюк. делаем nslookup на сервер, где лежит статья. И теперь лёгким движением руки меняем туда-сюда последнюю циферку в полученных. Правда, несложный фокус?

vodz ★★★ ()
Ответ на: комментарий от vodz

Это когда компьютеры во всех филиалах соедененны в единую сеть.

ne-vlezay ★★★★ ()

как я понял, там используется только busybox

ne-vlezay ★★★★ ()
Ответ на: комментарий от ne-vlezay

Это когда компьютеры во всех филиалах соедененны в единую сеть.

Будьте проще и люди к вам потянутся. Вы в самом деле считаете, что высказали великое откровение? Ну есть у нас mpls параллельно вышеизложенному, ибо то что как на самом деле всё сделано не тема этой статьи, но та часть с Интернетом - почти один в один.

vodz ★★★ ()
Ответ на: комментарий от vodz

Ладно, а теперь трюк. делаем nslookup на сервер, где лежит статья. И теперь лёгким движением руки меняем туда-сюда последнюю циферку в полученных.

И в чем трудность? Несколько IP на один интерфейс взгромоздить?

anonymous ()
Ответ на: комментарий от vodz

mpls есть не во всех системах.
OpenBSD - ЕСТЬ
NetBSD - ЕСТЬ
Linux - ЧАСТИЧНО
FreeBSD - НЕТ
Но, в OpenBSD есть непонятки с сетивым стеком. До 2,5G скорость 300-500Mbps на гигабитном интерфейсе. После 2,5G до 980-1024Mbps. С чем это связанно, и как это профиксить - не знаю?
В Linux базовый mpls есть, но vpls там нету.

ne-vlezay ★★★★ ()
Ответ на: комментарий от anonymous

И в чем трудность? Несколько IP на один интерфейс взгромоздить?

Может сразу предложите к провайдеру подключиться с серым IP? Видите ли, на свете есть задачи, выходящие за рамки подключения типа домашнего.

vodz ★★★ ()
Ответ на: комментарий от vodz

Сейчас уже давно у ripe подсеть регистрируют и используют bgp. Интересто, можно ли quagga'у собрать static-бинариком?

ne-vlezay ★★★★ ()
Последнее исправление: ne-vlezay (всего исправлений: 1)
Ответ на: комментарий от ne-vlezay

До 2,5G скорость 300-500Mbps на гигабитном интерфейсе.

Я рад за вас. Нам и по 10Mbit/филиал обходится по области в круглую сумму. :)

vodz ★★★ ()
Ответ на: комментарий от ne-vlezay

Всё можно собрать статиком, что бы вам ни говорили, насчёт libnss и прочих плагинов.

vodz ★★★ ()
Ответ на: комментарий от vodz

Может сразу предложите к провайдеру подключиться с серым IP?

А почему бы и да? На DMVPN, наверное, даже разрулили бы не сильно напрягаясь :)

Видите ли, на свете есть задачи, выходящие за рамки подключения типа домашнего.

Правда? А пацаны-то не знают...
Давайте всё же вернёмся к разнице между вашим первоначальным вариантом, где всё прекрасно ходило 20 лет через один единственный шлюз, и ко второму, где это почему-то стало невозможным.
Что так сильно изменилось, что теперь невозможно поток трафика точно также гонять через тот же самый шлюз?

anonymous ()
Ответ на: комментарий от anonymous

А почему бы и да? На DMVPN, наверное, даже разрулили бы не сильно напрягаясь :)

И так с каждым клиентом, у нас их 2500, от яселек до ...(цензура).

Давайте всё же вернёмся к разнице между вашим первоначальным вариантом,

Это можно, ибо по теме. Разница была в том, что a) на pppoe был отдельный адрес, даже о ужас - динамический; б) а вот сеть/24 была уже за нашим маршрутизатором. Провайдеру было пофиг, он эту сетку заруливал через это pppoe подключение с нащим логином, его даже не интерессовало, какой IP был у нашего pppoe-клиента и соответственно центрального маршрутизатора-файервола.

vodz ★★★ ()
Ответ на: комментарий от vodz

a) на pppoe был отдельный адрес, даже о ужас - динамический; б) а вот сеть/24 была уже за нашим маршрутизатором

Кажется я начал понимать
Ваша сеть /24 имела маршрутом 0.0.0.0 ваш маршрутизатор с IP в той же подсети, откуда всё это улетало в pppoe и вы спокойно рулили iptables'ом на FORWARD по разным интерфейсам
А тут вышло так, что маршрут 0.0.0.0 ведет не на ваш маршрутизатор, а на провайдерский, ваш маршрутизатор стал наравне со всеми в белой подсети, второй интерфейс у него как бы исчез, а рулить надо. Выносить бывшие белые IP в серую подсеть и NAT'ить маршрутизатором желания нет.
Так?

Мне кажется решение навроде распилить выданную сеть несмежными VLSM'ом типа 255.255.255.4 и 255.255.255.252 для сети /24 было бы несколько проще и быстрее в реализации и позволило бы сохранить прежнюю схему подключения. Хотя ни разу на практике не реализовывал, да.

anonymous ()
Ответ на: комментарий от anonymous

Так?

Именно! Правда это были не iptables, а access-list-ы на кошке.

распилить выданную сеть

В статье упоминается, что теперь не /24. Сколько вы и сами могли nsookup-ом определить. :) Совсем недавно, даже когда мы перестали платить за прошлогодний договор так всё и работало, все сервисы ходили через сеть/24, а со второго провайдера ходил в мир только squid, сетка была распилена.

vodz ★★★ ()
Последнее исправление: vodz (всего исправлений: 1)
Ответ на: комментарий от vodz

Кажется я начал понимать

PS: мне всё-таки кажется, что на первой картинке этот момент ясно отражён: белая сеть с сервисами и VPN-для-клиентов за маршрутизатором.

vodz ★★★ ()
Ответ на: комментарий от mittorn

А с Гоголем не ассоциируется? Термин и у него есть. Причём, кажется что файрвол - это просто неправильно, ведь значение противопожарная стена, а вовсе не огненная.

anonymous ()
Ответ на: комментарий от vodz

В статье упоминается, что теперь не /24

Принцип не изменится. Единственное, что в целом диапазона может быть недостаточно - это да.

Сколько вы и сами могли nsookup-ом определить. :)

Не настоящий я ракетчик, не умею так nslookup запускать. whois'ом по старинке.

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.