Freesco, NND, CDN, EOS

Witam,

Dotychczas korzystałem z jedynego właściwego operatora telekomunikacyjnego (TM). Na szczęście od początku marca korzystam z porządnego operatora lokalnego (TM). W związku z tym dostałem więcej zewnętrznych numerów IP i chciałbym zmienić trochę strukturę sieci.
Dotychczas wyglądało to z grubsza tak:


Teraz natomiast chciałbym zmienić strukturę na następującą:

czyli chcę podłączyć swój komp, który dotychczas chodził za maskaradą bezpośrednio do netu z zewnętrznym IP. Równocześnie chcę zachować podłączenie do eth2, żeby mieć szybki i pewny interfejs administracyjny niezależny od całej reszty.
W związku z tym przydałoby się, wyłączyć forwardowanie pakietów z eth2 do internetu przez eth0 (bo takie "równoważenie łącza" mija się w tej chwili z celem a do tego robię pętlę). Jak powinienem takie coś skonfigurować?

Pomysły mam dwa.
1. /proc/sys/net/ipv4/conf/eth2/forwarding (strzał, przeglądałem co tam jest)
2. /etc/iptables/firewall
moje podejrzenia padają tu na rejony:

oraz ewentualnie


Czy dobrze myślę, że wystarczy zmienić

na


i zapłotkować

(3-cia część adresu IP odpowiada numerowi sieciówki)?

Pozdrawiam,
Łukasz

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz

A dlaczego nie przyznasz sobie zewnętrznego adresu IP, na routingu w tej konfiguracji, którą masz teraz?

_________________
Dedykowane systemy CRM, e-commerce i witryny korporacyjne.
Software House Poznań

bo dobry admin to taki, ktory ma lepszy net niz reszta klinetow !
zamiast zrobic uzytek i dodac dwie regul iptables, woli ich dodac kilka razy wiecej gdyz ma dobrego pomysla na zewnetrzne ip.


ps.
a wystarczy do kompa z win wsadzic dodatkowa sieciowke i zadne zabiegi nie sa konieczne, pod warunkiem ze komp z windowsem nie robi jako router.
zadna petla sie nie zrobi.
a jesli chcesz zablokowac dostep do netu z eth2 wystarczy wpisac jedna regule do iptables w filter FORWARD blokujaca ruch z eth2.
dostep do routera bedzie a do netu nie.

np.
iptables -I FORWARD -i eth2 -j DROP

_________________
Pomógł? wypij jego zdrowie.
http://nnd-linux.pl/faq.php
http://wiki.nnd.freesco.pl/index.php/FAQ

Próbowałem tego rozwiązania, ale ma ono pewne wady:

1. pod hasłem INTERNET kryje się kolejny SWITCH (już nie mój, tylko dostawcy), a za nim 322 kompy (i rośnie), które mają w tym układzie dostęp do danych przesyłanych między mną a moim serwerkiem
2. z nie do końca dla mnie zrozumiałych przyczyn transfer przy takim połączeniu jest o wiele niższy (jakieś 40x) niż przez połączenie bezpośrednie (jeżeli mnie pamięć nie myli, to switch powinien rozpoznać, że gadają ze sobą kompy z tego samego segmentu i zestawić porty na maksa, ale widocznie mam kiepskiego switcha).

1. Bo na to nie wpadłem.
2. Bo nie wiem, jak skonfigurować DHCP Relay (ale to akurat można szybko zmienić zaglądając do dokumentacji).
3. Po co obciążać serwer niepotrzebnym ruchem?

Tak cz siak, możliwość godna rozważenia.

W ogóle nie musisz mieć serwera dhcp, żeby to zrobić, a już w żadnym razie wcale nie musisz go przekonfigurowywać.

Nie zauważysz żadnej różnicy w obciążeniu, nawet na p200.

Generalnie chyba dobrym pomysłem samemu również być za serwerem. Chyba, że wolisz dowiadywać się od klientów jak działa usługa;)

_________________
Dedykowane systemy CRM, e-commerce i witryny korporacyjne.
Software House Poznań

Tak się składa, że RESZTA, to również sprzęt należący do mnie, tylko że trochę gorzej zabezpieczony i mniej obciążający łącze (przynajmniej na razie). Tak więc nie oskarżaj mnie o coś, jeśli nie znasz realiów. Owszem, jeszcze kilka dni temu RESZTA to byli pozostali użytkownicy, ale wtedy cały mój sprzęt miał w sumie przyznane tyle samo łącza co każdy inny użytkownik, więc suma sumarum to ja miałem gorszy net, bo więcej urządzeń, a pasmo takie samo jak pozostali.


Akurat pisałem o "zapłotkowaniu" czyli usunięciu jednej i zmianie innej linijki, więc nie wiem do kogo pijesz.



Przecież narysowałem dwa łącza wychodzące z ADMIN_KOMP. Gdzie ja pisałem o kompie z Windą?


Dzięki za tą propozycję. Też o tym myślałem. Tylko czy efekt nie będzie identyczny jak wywalenie linii:
?

Tu akurat się nie zgodzę, bo zewnętrzne IP mam przyznawane z DHCP operatora, więc nie mogę go sobie na sztywno wpisać. Natomiast resztę sprzętu wolę mieć na DHCP.


Na to już odpisałem. Nie ma klientów (chyba, że mówimy o żonie i dzieciach).

Czyli potrzebujesz klienta DHCP nie serwera.

_________________
Dedykowane systemy CRM, e-commerce i witryny korporacyjne.
Software House Poznań

Klient DHCP potrzebny jest, żeby serwer pobrał swój adres. Natomiast, z tego co wiem, pobranie adresu z innego serwera DHCP w odpowiedzi na rządanie wysłane przez klienta, to już DHCP relay. Przecież ADMIN_KOMP leży sobie za serwerem i pyta po DHCP o adres IP, a serwer go nie zna, więc musi zapytać dalej. Chyba, że czegoś nie rozumiem.

Oczywiście sytuacja byłaby inna, gdyby na serwerze nie chodził serwer DHCP, ale chodzi żeby przyznawać IP prywatne reszcie urządzeń w sieci.

dobrze byloby, aby nie mylic pojec router serwer client.

_________________
Pomógł? wypij jego zdrowie.
http://nnd-linux.pl/faq.php
http://wiki.nnd.freesco.pl/index.php/FAQ

Masz rację. Oczywiście chodziło mi tutaj o router.

Napiszę może jeszcze jak w końcu rozwiązałem to, o co pytałem od początku. W chyba najprostszy sposób - nie wpisując w parametrach połączenia między ADMIN_COMP a routerem bramy domyślnej (default gateway). W tym momencie system nie próbuje się przez tę kartę łączyć z netem, o co mi chodziło.