FIZIK Jul 19 2011 at 15:46

Организация доступности сервисов по двум внешним интерфейсам средствами natd и ipfw

5 min

14K

*nix*

From sandbox

+20

Comments 12

click0 Jul 19 2011 at 18:48

Есть кернел nat, который более проще в настройке и более производительный.

На закуску: есть еще множественные таблицы маршрутизации через fib и демон zebra.

А где скрипт перещелкивания дефолт-роутов? :)

FIZIK Jul 19 2011 at 20:35

Напомню, реч идет о 6.3 в котором нет ядерного ната. Скрипт добавил.

click0 Jul 19 2011 at 22:36

Слишком древняя версия.
Проще и быстрее будет обновиться на 8.2

DmZ Jul 19 2011 at 19:29

Налаживать BGP взаимодействие с провайдерами, как мне посоветовали на одном форуме — это ~~редкостный маразм стрельба~~ из пушки по воробьям

BGP предоставляет маршрутизацию независимой AS, поэтому Ваши сервисы будут доступны ВСЕГДА, не зависимо от одного из упавших провайдеров.
А в текущем случае если провайдер на 222.222.222.1 упадет, то клиенты, вполне возможно, не достучатся до сервиса из-за DNS кеширования (на их стороне). А введенение нескольких алиасов типа service1.domain.com и service2.domain.com не всегда удобно.

FIZIK Jul 19 2011 at 20:40

Небольшой простой простой из-за DNS кеша в моем случае некритичен. Все это затевалось из-за того что необходимо было обеспечить работу OpenVPN клиентов из сети резервного провайдера, т.к. они подключены к резервному провайдеру (выходит более быстрое соединение, т.к. нет ограничений по скорости внутри сети провайдера).

Litiy Jul 19 2011 at 22:27

Интересный подход к написанию правил. Разделяй и властвуй. Можно добавить в скрипт автоматическую смену ip в bind чтобы к ожиданию обновления кэша не добавлялось ожидание реакции администратора.
Ну и на практике придется закрыть интерфейсы по умолчанию и открыть только то что нужно, т.к. безопасность лишней не бывает.
Спасибо за статью.

g0lden Jul 20 2011 at 08:17

BGP — тяжеловесно, согласен, т.к. требует наличия автономной системы (AS).
На будущее и в перспективе роста потребностей (например SLA доступности ресурсов спрятанных за роутером «из вне») можно посмотреть в строну iBGP ну и как вариант OSPF, на стыке с апстримами.

kekoz Aug 15 2011 at 22:06

Чего тяжеловесного в BGP на stub AS? Ничего :)
Разумеется, наличие AS требуется, BGP ничем иным не оперирует. Только private AS никто не отменял, а public AS получить от RIPE при наличии /25..30 практически нереально (и правильно, считаю).

Проблем технических нет вообще никаких (пройдено), проблема обычно одна единственная — договориться с провайдерами. А они нынче в огромном количестве такие, что вообще ничего не знают (например, как отрезать private AS).

OSPF на стыке с апстримами? Назови хотя бы одного, который согласится :)

scamp Jul 20 2011 at 11:33

На самом деле, для решения данной задачи в продакшне имеет смысл только настройка BGP-взаимодействия.
Во-первых, такая связка ipfw + natd не даст какой-либо серьезной производительности, во-вторых, переключение дефолта таким способом ненадежное и слишком долгое. В статье не раскрыта тема обновления DNS-записей при переключении каналов.

FIZIK Jul 20 2011 at 22:26

Согласен, но для небольшого офиса с сервисами исключительно внутреннего пользования, данное решение вполне жизнеспособно.

Nastradamus Jul 20 2011 at 13:41

О, я такое делал, только с помощью iptables + iproute2. У меня определенные компы в локалке ходят через разные шлюзы; сервисы, доступные извне тоже видны через оба шлюза. Еще можно делать так: весь инет юзера ходит через один шлюз, а определенные порты ходят через другой.
Плюс, сделал простенькую веб-морду для управления этим хозяйством на случай, если я в отпуске.
Если есть вопросы — могу ответить. :)

link0ln Jul 20 2011 at 15:24

Тоже было дело както… Делал чтото подобное через iproute2 nexthop, минимум настройки, работает довольно стабильно, хотя есть некоторые проблемы.

Show the best of all time