LINUX.ORG.RU

История изменений

Исправление Pinkbyte, (текущая версия) :

Вопросы у тебя как раз нормальные для того, у кого не было опыта. Бывает и хуже, поверь.

Я думал файрвол в циске и прочих это acl

На ACL-ях строится только stateless файрвол. Если нужны гибкие правила - лучше смотреть в стороны Zone-based firewall. На тех цисках с которыми я работаю - он единственный вариант организации stateful-файрвола.

Не, бесспорно, не всегда нужен firewall с поддержкой соединений, но на серьезных масштабах без него очень-очень тоскливо.

Именно поэтому лучше уж писюк с Linux, чем дрыще-аппаратный роутер. Ну а Cisco как всегда недостаток - это ценник :-)

route map как понял это Policy Based Routing

Не только. Но можно использовать и как PBR в том числе

Как метки помогают выкрутиться? Это же лишь маркировка для дальнейшего роутинга? Или это и имеется ввиду(как в моем примере).

Например так:

Задача - необходимо всё пришедшее в интерфейс eth0 натить с одним source-адресом, а пришедшее с eth2 - с другим. Указать -i в POSTROUTING нельзя. Вариант решения проблемы: маркируем пакеты с eth0 меткой допустим 10, а с eth2 - 20 в PREROUTING. В правилах -j SNAT указываем соответствующий -m mark.

Исправление Pinkbyte, :

Вопросы у тебя как раз нормальные для того, у кого не было опыта. Бывает и хуже, поверь.

Я думал файрвол в циске и прочих это acl

На ACL-ях строится только stateless файрвол. Если нужны гибкие правила - лучше смотреть в стороны Zone-based firewall. На тех цисках с которыми я работаю - он единственный вариант организации stateful-файрвола.

Не, бесспорно, не всегда нужен firewall с поддержкой соединений, но на серьезных масштабах без него очень-очень тоскливо.

Именно поэтому лучше уж писюк с Linux, чем дрыще-аппаратный роутер. Ну а Cisco как всегда недостаток - это ценник :-)

route map как понял это Policy Based Routing

Не только. Но можно использовать и как PBR в том числе

Как метки помогают выкрутиться? Это же лишь маркировка для дальнейшего роутинга? Или это и имеется ввиду(как в моем примере).

Например так:

Задача - необходимо всё пришедшее в интерфейс eth0 натить с одним адресом source-адресом, а пришедшее с eth2 - с другим. Указать -i в POSTROUTING нельзя. Вариант решения проблемы: маркируем пакеты с eth0 меткой допустим 10, а с eth2 - 20 в PREROUTING. В правилах -j SNAT указываем соответствующий -m mark.

Исправление Pinkbyte, :

Вопросы у тебя как раз нормальный для того, у кого не было опыта. Бывает и хуже, поверь.

Я думал файрвол в циске и прочих это acl

На ACL-ях строится только stateless файрвол. Если нужны гибкие правила - лучше смотреть в стороны Zone-based firewall. На тех цисках с которыми я работаю - он единственный вариант организации stateful-файрвола.

Не, бесспорно, не всегда нужен firewall с поддержкой соединений, но на серьезных масштабах без него очень-очень тоскливо.

Именно поэтому лучше уж писюк с Linux, чем дрыще-аппаратный роутер. Ну а Cisco как всегда недостаток - это ценник :-)

route map как понял это Policy Based Routing

Не только. Но можно использовать и как PBR в том числе

Как метки помогают выкрутиться? Это же лишь маркировка для дальнейшего роутинга? Или это и имеется ввиду(как в моем примере).

Например так:

Задача - необходимо всё пришедшее в интерфейс eth0 натить с одним адресом source-адресом, а пришедшее с eth2 - с другим. Указать -i в POSTROUTING нельзя. Вариант решения проблемы: маркируем пакеты с eth0 меткой допустим 10, а с eth2 - 20 в PREROUTING. В правилах -j SNAT указываем соответствующий -m mark.

Исходная версия Pinkbyte, :

Я думал файрвол в циске и прочих это acl

На ACL-ях строится только stateless файрвол. Если нужны гибкие правила - лучше смотреть в стороны Zone-based firewall. На тех цисках с которыми я работаю - он единственный вариант организации stateful-файрвола.

Не, бесспорно, не всегда нужен firewall с поддержкой соединений, но на серьезных масштабах без него очень-очень тоскливо.

Именно поэтому лучше уж писюк с Linux, чем дрыще-аппаратный роутер. Ну а Cisco как всегда недостаток - это ценник :-)

route map как понял это Policy Based Routing

Не только. Но можно использовать и как PBR в том числе

Как метки помогают выкрутиться? Это же лишь маркировка для дальнейшего роутинга? Или это и имеется ввиду(как в моем примере).

Например так:

Задача - необходимо всё пришедшее в интерфейс eth0 натить с одним адресом source-адресом, а пришедшее с eth2 - с другим. Указать -i в POSTROUTING нельзя. Вариант решения проблемы: маркируем пакеты с eth0 меткой допустим 10, а с eth2 - 20 в PREROUTING. В правилах -j SNAT указываем соответствующий -m mark.