Hi !
2 wan interfész-t érdemes egy szerveren behegeszteni vagy jobb megoldás valami olcsóbb célhardvert vásárolni ?
Úgy gondolom a szerveres megoldásnál csak tűzfalszabályokkal tudnék mahinálni milyen szolgáltatás melyik kártyán jöjjön ki-be.
Célhardver pár 10ezerért vásárolható, azok hogyan oldják meg ezt a kérdést, hogyan működnek ?
Létezik valami progi ami segít a szerveres megoldásban , milyen lehetőségek vannak ?
Thx
- 2032 megtekintés
Hozzászólások
Ha szerveren/pc-n akarsz dual wan-os routert/firewallt akkor a www.pfsense.org egy igen jó választás lehet. Ez FreeBSD/pf alapú, de van linux alapokon is egy tonna hasonló firewall app.
Amúgy meg az olcsóbb célhardverek egy részén is linux van, és iptables + policy routing + a körítés .
Üdv
Godot
- A hozzászóláshoz be kell jelentkezni
Sajnos külön router/firewall szerverre egyenlőre nincs lehetőségünk, a jelenleg futó debian mellett (más szolgáltatások is futnak rajta).
Marad a "tonna linuxos fw app" ,pontosabban mikre gondoltál ???
- xer321 -
a shorewall-t javasolja - ezzel még nem foglalkoztam, de valóban megvalósítható vele a dolog
Jelenleg iptables-t hasznalunk amivel el is boldogulok....iproute2+iptables is megoldás lehet ??!
- A hozzászóláshoz be kell jelentkezni
Shorewall nálunk tökéletesen megy
- A hozzászóláshoz be kell jelentkezni
Eddig minden feladatot iptables segítségével oldottam meg, sajna a shorewall-t nem ismerem de talán itt az ideje....
Egy kicsit nehéz lesz egy működő szerveren kisérleteznem :(
....itthon meg nincs 2 wan interfészem :)
- A hozzászóláshoz be kell jelentkezni
//interfaces
loc eth0 192.168.1.255
net ppp0 detect routefilter,tcpflags,nosmurfs
net ppp1 detect routefilter,tcpflags,nosmurfs
//masq
ppp0 eth0
ppp1 eth0
ppp0 $ip2 $ip1
ppp1 $ip1 $ip2
$ip1 és $ip2 az a ip címed amit kapsz a szolgáltatótól
ha nem tudod a címeket vagy dhcp akkor
//params
EXT_IP1=$(/sbin/ifconfig ppp0 | grep inet | grep -v 127.0.0.1 | awk '{ print $2 }
EXT_IP2=$(/sbin/ifconfig ppp1 | grep inet | grep -v 127.0.0.1 | awk '{ print $2 }
//policy
$FW all ACCEPT
loc $FW ACCEPT
loc net ACCEPT
net all DROP
#net all ACCEPT
all all REJECT
net net DROP
//providers
ISP1 1 1 main ppp0 detect balance,track eth0
ISP2 2 2 main ppp1 detect balance,track eth0
//rules
ACCEPT loc:192.168.1.0/24 $FW all - - -
//tcclasses
ppp0 10 1kbit full 1 tcp-ack,tos-minimize-delay
ppp0 20 1kbit full 2 default
ppp1 30 1kbit full 1 default
ppp1 40 1kbit full 2 tcp-ack,tos-minimize-delay
//tcdevices
ppp0 4000kbit 256kbit
ppp1 8000kbit 512kbit
//tcrules
#mail
1:P 192.168.1.0/0 0.0.0.0/0 tcp smtp
1:P 192.168.1.0/0 0.0.0.0/0 tcp - smtp
RESTORE 0.0.0.0/0 0.0.0.0/0 all - - - 0
CONTINUE 0.0.0.0/0 0.0.0.0/0 all - - - !0
SAVE 0.0.0.0/0 0.0.0.0/0 all - - - !0
//zones
loc ipv4
net ipv4
Kb ennyi, de viszont kézzel kell fordítani egy kernelt amiben benne van az ip_conntrack mindkét irányba különben sikítani fog a shorewall (iptables).
A priority rész működik, hogy az email a ppp0 menjen, de sajnos a traffic rész az nem megy nálam és nem tudom miért. Valaki tudna segíteni ebben az megköszönném. A többi része az jó.
- A hozzászóláshoz be kell jelentkezni
Müxik ami nem sikerült!!!
//tcrules
#mail
1:120:P 192.168.1.0/0 0.0.0.0/0 tcp smtp
1:120:P 192.168.1.0/0 0.0.0.0/0 tcp - smtp
- A hozzászóláshoz be kell jelentkezni