LevT Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Alukardd Цитата: не совсем понимаю, что это значит в рамках одного офиса. Цитата: Я ж говорю: одним офисом не ограничиваюсь.   Вот! Поймал себя на оправдании. А, собственно, почему я должен оправдываться в своём стремлении делать добротные неодноразовые масштабируемые вещи, удобные для поддержки и обслуживания?   Ну вот есть у меня страсть к такого рода задачкам. Я же не обесцениваю Вашу страсть к детальному изучению закоулков манов...     Цитата: Сначала создаёт socks proxy: ssh -D 1999 remote_gw   Потом шляемся через него: ssh -o "ProxyCommand=nc.openbsd -x localhost:1999 %h %p" root@192.168.233.2 Пришлось поставить пакет netcat-openbsd, со стандартным не вышло, пробовал ncat --proxy-type socks4 --proxy localhost:1999 - просто подвисало соединение и всё.     Открыл для себя-виндузоида и "сетевика" нового (выбравшего пепси) поколения -совершенно новую область знания: соксы.   http://www.redbooks.ibm.com/redbooks/GG243376/wwhelp/wwhimpl/api.htm?href=22-5.htm (ссылка исправлена)   Не, слово-то я такое слышал и раньше. Даже использовал пару раз проксификаторы в проектах, не отдавая себе отчёта в их функциях и устройстве - потому что был зажат по ресурсам и потому далёк от возвышенных интересов. Всего записей: 18092 | Зарегистр. 14-10-2001 | Отправлено: 08:04 12-04-2012 | Исправлено: LevT, 09:27 12-04-2012

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору LevT Так я не против маршрутизируемости. Я честно не понимаю как это выглядит в рамках одного офиса. Никогда с этим не сталкивался...   Да мои знания тоже весьма узки и не полные даже в том что я знаю... Вот сейчас немного познакомлюсь с гипервизорами и телефонией в рамках предприятия, а не 3-х человек. ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6588 | Зарегистр. 28-08-2008 | Отправлено: 11:56 12-04-2012

LevT Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Ящетаю, что ограничиваться сиюминутной задачей вредно: всегда стоит думать о перспективе (масштабируемости конструкции и тиражируемости опыта).     Не всегда такое возможно в условиях, когда ресурсов в обрез - ну так это первая для нас для всех общая проблема: нас зажимают в ресурсах и учат довольствоваться рабским положением винтика в чужом механизме.   Человеку свойственно забывать, рассеиваться, терять контекст... Ну так что мешает инкапсулировать свои знания мелких деталей в виртуалки с чОтким интерфейсом, а опыт прилагать к достижению более крупных и индивидуализированных целей? И желательно собственных, согласованных между сторонами с учётом их интересов, а не навязанных извне за морковку.     Добавлено:   Цитата: Я честно не понимаю как это выглядит в рамках одного офиса.     да примерно так же - только в случае правильного дизайна сложность добавления новых офисов O(1), а затраты заказчика на доп. приобретения минимальны. Человеческий ресурс технаря сберегается для творческих интересных задач и не изводится на мартышкин труд. Всего записей: 18092 | Зарегистр. 14-10-2001 | Отправлено: 12:48 12-04-2012 | Исправлено: LevT, 14:15 12-04-2012

LevT Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Вот, наткнулся на очередное преимущество той архитектуры, к которой я стремлюсь: с изоляцией сервисов и легковесными роутерами. Подтвердились мои невесёлые предположения насчет линуксовых "коробочек"-вебморд.   Сначала я решил добавить к Zentyal несколько алиасов из сети первого провайдера - фаерволл оказался в несогласованном состоянии, не давал доступа к настройкам порт форвардинга на дефолтном айпишнике. Глюк вначале казался косметическим, всё вроде работало.   Добавил транковый интерфейс в сторону ядра локалки, выделил несколько субинтерфейсов, понастраивал их (с прицелом перевесить на один из них айпи дефолтного шлюза локалки) ...и всё слегло.  В результате только "законных" с точки зрения морды операций я сейчас имею полностью обнулившийся фаерволл. В том числе исчезли и родные настройки пакетного фильтра сервисов Zentyal, в "коробочке" меж собой типа согласованные.     Посоветуете производить такого рода переконфигурацию руками, выкинув дурацкие "коробочки"? Не вижу смысла приобретать и постоянно поддерживать в себе подобную квалификацию настройщика шлюзов.  Потому что.   Компромиссный вариант использования коробочки: НИКОГДА не перенастраивать интерефейсы. То есть сделал шлюз в фиксированной конфигурации - и сдувай с него пыль потом вовек. Не нравится мне такая перспектива, ну развращён я циской и вмваре. Да и мелкософтом, пожалуй.     Добавлено:   Родной "дизастер рекавери план" для Zentyal - следовать путём труЪ мелкософт-самурая, подписавшись на облачный бэкап: http://forum.zentyal.org/index.php/topic,5854.0.html   Нах-нах...     Всего записей: 18092 | Зарегистр. 14-10-2001 | Отправлено: 07:08 14-04-2012 | Исправлено: LevT, 11:53 14-04-2012

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору LevT Могу лишь напомнить Вам, что с коробками  не работал, когда мне предложили поюзать IPCop я поставил его на тестовую машинку, посмотрел на настройки и форматнул винт) Собственно я за "ручками". Цитата: Не вижу смысла приобретать и постоянно поддерживать в себе подобную квалификацию настройщика шлюзов. мб Вы и правы, хотя я других мнений придерживаюсь... Единственное, это я стараюсь после успешных операций, записать поэтапно что где и как. Иногда после повторного сталкивания с проблемой заметки пополняются. Зато, по ним я всегда могу повторить операцию. Отдавать настройку на откуп каким-то софтинам мне не очень нравится, точнее это следует делать но только на самом нижнем уровне, что бы совсем в системе не погрязнуть, например, я люблю вкусняшки по настройки сети в Debian интегрированные в файл interfaces, хотя некоторые из них имеют ограничения. ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6588 | Зарегистр. 28-08-2008 | Отправлено: 16:02 14-04-2012

LevT Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Alukardd Цитата: мб Вы и правы, хотя я других мнений придерживаюсь...   да я не меряюсь правами )  Бесссмысленное занятие в свете вот этого, контрпродуктивное.   Без надёжной и подконтрольной исполняющей среды никакой "дизайнер" далеко не уедет. Но ехать-то надо далекоОо, гораздо дальше, чем может удержать в голове один человек, хотя бы и с помощью записей.     Цитата: Отдавать настройку на откуп каким-то софтинам мне не очень нравится,   Мне это тоже не нравится, но не столь сильно, как увязание в деталях и вызванное им исчерпание человеческого ресурса, неспособность за деревьями видеть лес и преследовать свои намерения на его счёт. ))     Кроме того, я считаю, что повторяющуюся монотонную нетворческую работу надо оффлоадить компьютерам. Странный выбор не пользоваться инструментом, именно для этой цели созданным, достигшим невиданной мощи и подручным по определению.         Добавлено:   От столкновения с фаерволами на самых разных платформах у меня огромный обломайс по жизни (да и с роутерами... но там цифр вообще поменьше, а для масштабных случаев существует динамическая маршрутизация).   Не понимаю, блин, ну кто или что мешает вместо фиксированных айпишников использовать в конфигах человеческие переменные?   Да-да, всё равно команды иптаблес как-то процессятся перед тем, как скармливаются ядру (хотя бы текст парсится). Что мешает разрешить там использовать псевдонимы вместо цыферь?     Добавлено:   При всей своей мордатости даже зентиял и микротик не решаются вот в этом месте порвать с традицией или хотя бы предоставить возможность выбора. Мне кажется, столь укоренившаяся дурная практика неизлечима: потому надо поскорее выкинуть фраерловы на свалку и переходить на ipsec v6   Кстати, вот длинннющие адреса ipv6 - линуксоиды их тоже намерены повторять ручками во всех без исключения конфигах? Если с ними всё-таки решились порвать шаблон - то почему бы не подумать об ipv4? Всего записей: 18092 | Зарегистр. 14-10-2001 | Отправлено: 16:49 14-04-2012 | Исправлено: LevT, 17:40 14-04-2012

LevT Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору http://forum.ru-board.com/topic.cgi?action=addbookmark&forum=65&topic=4533 Всего записей: 18092 | Зарегистр. 14-10-2001 | Отправлено: 22:42 14-04-2012

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору LevT Мог сюда не дублировать. Ветки для сисадминов и по никсам лично у меня открыты всегда. ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6588 | Зарегистр. 28-08-2008 | Отправлено: 00:07 15-04-2012

LevT Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Alukardd   А что за фигня в этом зентиале?   Команда route не выводит дефолтного маршрута. Как будто и нет такого. При том всё пашет.   Или это фигня в моих знаниях? Всего записей: 18092 | Зарегистр. 14-10-2001 | Отправлено: 13:31 15-04-2012

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору LevT Цитата: Команда route не выводит дефолтного маршрута. а остальные выводит? мб тогда вывод покажете? Если вы пользовались правилами маршрутизации то всё своё добро можно посмотреть так: ip r s table all ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6588 | Зарегистр. 28-08-2008 | Отправлено: 13:49 15-04-2012

LevT Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Alukardd Цитата: Если вы пользовались правилами маршрутизации   Действительно, зентиял ими пользуется - но меня об этом не предупреждает ))   Понятна по этому поводу злоба "линуксоида" (в. т.ч. и соответствующей части моей собственной психики) Но... попытаюсь объясниться с точки зрения "виндузятника": оно УЖЕ работает и не встряло на дороге моих планов крутой лёрнинг курвой.     Кажется, я ошибся насчёт микротика: Цитата: При всей своей мордатости даже зентиял и микротик не решаются вот в этом месте порвать с традицией или хотя бы предоставить возможность выбора.     есть там какие-то address-lists. Ща попробую заюзать. В зентияле "network objects" оказались не про то... Всего записей: 18092 | Зарегистр. 14-10-2001 | Отправлено: 19:58 15-04-2012

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору LevT Дык я не понял, что там у Вас с таблицами маршрутизации? Нашли концы - как пакеты в мир уходят?) ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6588 | Зарегистр. 28-08-2008 | Отправлено: 20:33 15-04-2012

LevT Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору нормально, по таблице 102 Всего записей: 18092 | Зарегистр. 14-10-2001 | Отправлено: 20:38 15-04-2012

LevT Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Задумался над табличкой. Всё ли у меня в порядке с дефолтными маршрутами? Если так, то объясните смысл существования трех таблиц при двух шлюзах.   Код:   default via 195.1.1.1 dev eth2  table 102  src 195.1.1.2   10.111.113.66 dev ppp0  proto kernel  scope link  src 10.111.113.65   195.1.1.0/30 dev eth2  proto kernel  scope link  src 195.1.1.2   79.1.1.0/29 dev eth1  proto kernel  scope link  src 79.1.1.2   10.111.112.0/24 dev eth0  proto kernel  scope link  src 10.111.112.3   10.201.64.0/18 dev tap0  proto kernel  scope link  src 10.201.80.143   10.200.0.0/16 via 10.201.64.1 dev tap0   default via 195.1.1.1 dev eth2  table 103  src 195.1.1.2   default via 79.1.1.1 dev eth1  table 101  src 79.1.1.2   default  table default           nexthop via 79.1.1.1  dev eth1 weight 1         nexthop via 195.1.1.1  dev eth2 weight 1 broadcast 10.111.112.0 dev eth0  table local  proto kernel  scope link  src 10.111.112.3   broadcast 127.255.255.255 dev lo  table local  proto kernel  scope link  src 127.0.0.1   local 10.111.112.3 dev eth0  table local  proto kernel  scope host  src 10.111.112.3   broadcast 79.1.1.7 dev eth1  table local  proto kernel  scope link  src 79.1.1.2   broadcast 10.201.127.255 dev tap0  table local  proto kernel  scope link  src 10.201.80.143   local 10.201.80.143 dev tap0  table local  proto kernel  scope host  src 10.201.80.143   broadcast 79.1.1.0 dev eth1  table local  proto kernel  scope link  src 79.1.1.2   local 79.1.1.2 dev eth1  table local  proto kernel  scope host  src 79.1.1.2   broadcast 195.1.1.0 dev eth2  table local  proto kernel  scope link  src 195.1.1.2   broadcast 10.111.112.255 dev eth0  table local  proto kernel  scope link  src 10.111.112.3   local 10.111.113.65 dev ppp0  table local  proto kernel  scope host  src 10.111.113.65   local 195.1.1.2 dev eth2  table local  proto kernel  scope host  src 195.1.1.2   broadcast 10.201.64.0 dev tap0  table local  proto kernel  scope link  src 10.201.80.143   broadcast 195.1.1.3 dev eth2  table local  proto kernel  scope link  src 195.1.1.2   broadcast 127.0.0.0 dev lo  table local  proto kernel  scope link  src 127.0.0.1   local 127.0.0.1 dev lo  table local  proto kernel  scope host  src 127.0.0.1   local 127.0.0.0/8 dev lo  table local  proto kernel  scope host  src 127.0.0.1   fe80::/64 dev eth1  proto kernel  metric 256  mtu 1500 advmss 1440 hoplimit 4294967295 fe80::/64 dev eth2  proto kernel  metric 256  mtu 1500 advmss 1440 hoplimit 4294967295 fe80::/64 dev eth0  proto kernel  metric 256  mtu 1500 advmss 1440 hoplimit 4294967295 fe80::/64 dev tap0  proto kernel  metric 256  mtu 1500 advmss 1440 hoplimit 4294967295 unreachable default dev lo  table unspec  proto kernel  metric -1  error -101 hoplimit 255 local ::1 via :: dev lo  table local  proto none  metric 0  mtu 16436 advmss 16376 hoplimit 4294967295 local fe80::250:56ff:fe8b:589 via :: dev lo  table local  proto none  metric 0  mtu 16436 advmss 16376 hoplimit 4294967295 local fe80::250:56ff:fe8b:58a via :: dev lo  table local  proto none  metric 0  mtu 16436 advmss 16376 hoplimit 4294967295 local fe80::250:56ff:fe8b:58b via :: dev lo  table local  proto none  metric 0  mtu 16436 advmss 16376 hoplimit 4294967295 local fe80::e457:ff:feb1:38ee via :: dev lo  table local  proto none  metric 0  mtu 16436 advmss 16376 hoplimit 4294967295 ff00::/8 dev eth1  table local  metric 256  mtu 1500 advmss 1440 hoplimit 4294967295 ff00::/8 dev eth2  table local  metric 256  mtu 1500 advmss 1440 hoplimit 4294967295 ff00::/8 dev eth0  table local  metric 256  mtu 1500 advmss 1440 hoplimit 4294967295 ff00::/8 dev tap0  table local  metric 256  mtu 1500 advmss 1440 hoplimit 4294967295 unreachable default dev lo  table unspec  proto kernel  metric -1  error -101 hoplimit 255     Есть тревожащий момент: не ходят трейсы отсюда с зентияла в локалку. Пинги ходят и шлюз как таковой работает. Всего записей: 18092 | Зарегистр. 14-10-2001 | Отправлено: 22:56 15-04-2012 | Исправлено: LevT, 23:01 15-04-2012

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору LevT Надо посмотреть на вывод ip ru s Скорее всего таблицу 102 задали вы своими махинациями для файлопомоек и она подчиняется особым правилам...   Добавлено: По поводу трейсов это надо смотреть на правила iptables/netfiter. ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6588 | Зарегистр. 28-08-2008 | Отправлено: 23:04 15-04-2012

LevT Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Alukardd Код:   $ ip ru s 0:      from all lookup local   32759:  from all lookup main   32760:  from 79.1.1.2 lookup 101   32761:  from 79.1.1.1 lookup 101   32762:  from all fwmark 0x1/0xff lookup 101   32763:  from 195.1.1.2 lookup 102   32764:  from 195.1.1.1 lookup 102   32765:  from all fwmark 0x2/0xff lookup 102   32766:  from all lookup main   32767:  from all lookup default     махинаций для "файлопомоек" я ещё не производил.   Не согласен c уничижительным именованием - потому что оно играет на руку торговцем платным контентом. В условиях одолевающей копирастии многие образовательные и технические ресурсы доступны только там. Особенно после ликвидации library.nu     Обычное использование этого презрительного слова тоже мне не нравится: людям необходима доступность ресурса. Если (опять же в условиях копирастии) доступность ставится под угрозу, выручают локальные "помойки"       Добавлено:   Придумал и начал тестировать решение, закрывающее целый класс специфических проблем и дающее простор для  оптимизации сетевых сервисов внутри живой сети и на её границе.   Дефолтный шлюз локалки должен ВСЕГДА указывать на VRRP интерфейс. Если зентиял скажем не дает такой интерфейс настроить - шлюзом должно быть что-то другое, например микротик. Всего записей: 18092 | Зарегистр. 14-10-2001 | Отправлено: 10:02 16-04-2012 | Исправлено: LevT, 10:09 16-04-2012

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору LevT Ну как бы да, vrrp или carp должен быть настроен, если нужна отказоустойчивость. И лучше вместе с conntrackd.   Что касается маршрута для table 103, то он конечно прописан, но что-то я не наблюдаю правил для попадания пакета в соответсвующую таблицу.   p.s. полемику по поводу файлопомоек разводить не хочу... ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6588 | Зарегистр. 28-08-2008 | Отправлено: 13:02 16-04-2012 | Исправлено: Alukardd, 13:03 16-04-2012

LevT Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: если нужна отказоустойчивость.     Вообще-то она нужна всегда и всем. Людям от IT доступность сервисов нужна всегда - а отдельную плату за отказоустойчивость требуют бесстыжие торгаши, которые впаривают вместо ТОВАРА подделки под него и модельки, радующие глаз блондинок обоего пола.   А вот админу нужна гибкость, для оптимизации сетевых сервисов на ходу и защиты от собственных ошибок. HA дефолтного шлюза - средство для этой цели.  Даже если начальство жмотится платить "за отказоустойчивость" .     Цитата: И лучше вместе с conntrackd.     А вот здесь можно подробнее? Не могу увязать смысл связки (который вроде понимаю) с теми шагами, которые следует проделать.     Цитата: Что касается маршрута для table 103, то он конечно прописан, но что-то я не наблюдаю правил для попадания пакета в соответсвующую таблицу.     Не уверен что следует разбираться с тем инстансом зентияла (хотя он у меня сохранён в снапшоте на всяк случай): я в лучших традициях виндузятника всё уже переустановил ))     Добавлено:   Вот иптаблес от свеженастроенного зентияла. Что здесь бесспорные бестпрактисы. а что их отсебятина? Что бы Вы ещё сделать посоветовали?   Подробнее...   Добавлено:   Я не вижу здесь например mangle правил, с помощью которых когда-то делал балансировку в микротике по инструкции из вики и советам в рубордовской теме.   Как же зенитиял балансирует трафик? Где посмотреть эти конфиги? Всего записей: 18092 | Зарегистр. 14-10-2001 | Отправлено: 13:56 16-04-2012 | Исправлено: LevT, 15:51 16-04-2012

Alukardd Gold Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору LevT carp в лице ucarp позволяет следить за "напарником" и в случае отказа у него какого-либо интерфейса взвалить весь труд на себя.  А conntrackd просто синхронизирует таблицу сетевых соединений. Т.о. образом при падении основного шлюза второй не просто получит его ip, но и будет знать о всех установленных соединениях, так что клиент даже не прочувствует подвоха в случае ssl и тому подобных соединений методом CONNECT. Цитата: Как же зенитиял балансирует трафик? Где посмотреть эти конфиги? а вы их уже видели) Вот они: default  table default           nexthop via 79.1.1.1  dev eth1 weight 1         nexthop via 195.1.1.1  dev eth2 weight 1   p.s. iptables попозже гляну. Если не сложно, гляньте на мой вопрос. ---------- Microsoft gives you windows, linuх gives you the whole house... I've been using Vim for about 4 years now, mostly because I can't figure out how to exit it. Всего записей: 6588 | Зарегистр. 28-08-2008 | Отправлено: 18:46 16-04-2012

LevT Platinum Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Цитата: default  table default           nexthop via 79.1.1.1  dev eth1 weight 1         nexthop via 195.1.1.1  dev eth2 weight 1     Забавно... В микротике я такого не заметил. Мобыть. оно там называется иначе - например, VRF? Всего записей: 18092 | Зарегистр. 14-10-2001 | Отправлено: 19:16 16-04-2012

Страницы: 1 2 3 4 5 6

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » NAT и публикация сервисов с учётом virtual hosts

Переход по форумам  Закладки   » Компьютеры Цифровое изображение Программы Microsoft Windows UNIX Другие OS Hardware В помощь сисадмину Прикладное программирование Игры Форумные игры   » Интернет Web-программирование В помощь вебмастеру Графика Хостинг Зацените-ка!   » Тематические Ikonboard v.2 Ikonboard v.3 Invision Board Другие форумы PHP-Nuke и другие порталы Мобила   » Общие Спорт Флейм Темы по региональным встречам Музыка и Кино Юмор Литература и Живопись   » Ru.Board Новости Помощь по форуму   » Андеграунд eBookz Варезник Раздачи и акции Мобильный варезник Андеграунд Игры и фильмы   » Специальные Тестирование