Прозрачный брандмауэр с маршрутизатором. Тестовая лаборатория

да прочитал я, задача типовая, подключение типовое

Имеено!

и решения для нее тоже типовые

Покажите в сети

ваши аховые скрипты

Скрипты, в реальном решении заключаются в одной строчке ebtables. В тестовой лабе от них избавиться можно только сделав разный образ на каждую виртуалку.

Так что как обычно. Типичный анонимусный высер.

а решение не в сети:) самое ходовое - пнуть в вашем случае мегафон чтоп он понял что у вас там роутер, выдал вам точку-точку и отротил вашу цешку на него - и все осталось бы как и было, порезать сеть вам тоже преедлагали, и третье - имея нормальную инфруструктуру можно было бы забить и положить ее и на такое подключение, но обычно влом чето делать и используют первый вариант как самый логичный и малозатратный. это вы зачем то из обыденной ситуации сделали проблему.

ну и кстати насчет высеров - заканьчивайте высерать их, я вам не грубил.

Ну а чё, нормальненько так, вместо одной строчки с ebtables мы должны будем купить сеть побольше чтобы её нарезать. И потом это обозвать нормальной инфраструктурой. Нормальная инфраструктура у нас крутится на MPLS в сети основная-1 и резервная-1, а это работает когда вот те первые дохнут. Так что идите кому другому объясняйте нормальность ваших идиотский предложений.

жесть какая:) мплс во все поля на PA адресах а динамику неумеем:) и решаем децкие задачки костылями в тестлабе:) извините но чтото тут не вяжеца.

жесть какая

Не, про жесть тут ещё не разу не упоминалось, ибо вот то красенькое на картинке это она и есть, сертифицированная sensored жесть :)

а динамику неумеем

Я то умею, а вот насчёт 99% местного контингента как и в прочем и вас - не уверен. Ибо я умею и избавляться от неё когда она не нужна.

вы определитесь уже, то вы боитесь что из за динамики в отпуск не уйдете то вас MPLS даже не смущает хотя по логике тут с ним вы не то что в отпуск а пасрать должны бояца отойти - вдруг чего а никого нету:) а железки они знаете ли все censored и жесть, у всех разная, но такова жизнь.

Неужели так трудно понять простую мысль, что раз динамика всю задачу не решает, а простое и элегантное решение решает задачу без неё, то ваша, бесконечно повторяемая мысль, звучит уже как идиотизм?

я вообщето ничего не повторял, это вы чтото там сами придумываете, просто динамическая маршрутизация тут неотьемлемая часть нормально построенной инфраструктуры, которой у вас нет, ибо будь она у вас вы бы сами же по рукам и били бы всем желащим впихнуть статику вам в сеть и себе в том числе, а не боялись бы что ктото там чето не разбереца в чем то. там все на самом деле наоборот проще прозрачней и проще диагностируется. а так если посмотреть то ваша вот эта городушка включенная в нормальную сеть статикой выглядит там неиначе как как помойка и не имеет смысла вообще. и городушку вы эту сделали по той же причине - нет инфраструктуры - лепим костыли.

А, опять свои идиотские мысли в голове мешают понять «детскую» статью... Где вы там статику нашли?!

эм, ну как где, под «Правильное решение» один из пунктов гласит «сконфигурить все VPN-ы либо на этом хосте, либо прописать маршрут на хосте с прозрачным файерволом — центральным маршрутизатором до сервера VPN.» а при динамике маршруты не прописывают:) они сами:) ну и от обратного - маршрутизаторы там у вас есть, а про маршрутизацию ничего - а варианта как бы два:)

А, ну что-то в ваших словах есть, если учесть, что VPN-ы это динамика, и тут динамика между этими двумя маршрутизаторами бы могла и применяться. Но, это нисколько не меняет само решение, ибо оно упирает на возможность поднимать VPN-ы на самом прозрачном брандмауэре за счёт белого адреса, ни на то, что нет необходимости поднимать динамику на всех остальных белых хостах.

в них много чего есть если подумать:) а я и не меняю ваше решение, просто можно правильнее, красивее централизованнее, с меньшим гемороем и временными затратами при очередном переезде, с меньшими рисками ошибица гдето или оставить дыру потому что меньше менять настроек в ручную, конфигурация получаеца тоже типовая и прозрачнаная и соотвественно более понятная ну итд. поэтому ваше назвать могу тока децким, уж извините не обижайтесь но как есть.

А вот без этого «не обижайтесь» никак нельзя было обойтись? Ведь сказали же чушь. Как может быть конфигурация более простой, если она без этого решения требует брандмауэр на каждом белом хосте и всё равно перенастройки динамики при переезде? Ведь динамика там умозрительная, большинство инсталляций вполне обходятся многолетней конфигурацией количества и им выделенных серых сетей для филиалов, потому при переезде будет меняться совсем не то, а динамика получается реально типа поиграться.

ну я просто привык говорить как есть:) не волнуйтесь у меня тоже дохрена чего есть через жопу:) даже дома вот хоть и динамика но тоже через жопу:) а по вашим вопросам - не требует она фаера на каждом хосте, у вас просто по сути отняли роутер и соответственно единую точку контроля - ее просто нада было вернуть назад, в виде роутера, но вы выкрутились бриджом, да можно - но затратнее. но это не касаеца всего остального. на остальные вопросы я ответить не могу - нужно знать физическую топологию, L2 топологию, географию требования к полосе хотя бы, иначе это все теория будет и возможных решений будет милион, и только одно правильное, тока мы не будем знать какое:)

P.S. стп на бридже погасите если оставили, ато раздолбаи на стороне провайдера иногда тоже забывают про него, и при определенном стечении обстоятельств может случица ой. :)

ну я просто привык говорить как есть

А есть решение и куча срача, как сделать это другими способами, затратнее и кривее. Но это же linux.org.ru, именно это я и ожидал.

стп на бридже погасите если оставили

Как тут любят говорить: «а пацаны то и не знали». Оно то понятно, что скрипт читать влом, но зачем тогда позориться? Оставили тогда уж советы при себе, не было б типичного анонимного позора.

панятна все с вами, аукнеца вам ето ваше решение на следующем мегафоне, я так понимаю что то что wccp-proxy наружу торчит аж по четырем портам «пацаны» тоже вкурсе? и идент до кучи, очень нужная вещь наверное тоже.

Можно подумать, динамика бы прикрыла этот wccp :) ident он по жизни должен торчать, из сетевой вежливости, как и icmp, правильный реверс и прочее, закрытие их есть то самое, что привело Интернет к помойке.

аукнеца вам ето ваше решение

Да Вы не стесняйтесь, давайте примерчик.

причем тут динамика то? насчет идента не согласен, у вас же там не шеллхостинг, и про вежливость можете забыть - боюсь вас опять огорчить но вы в интернете - говоря иначе в помойке и торчать в нее должно исключительно то что необходимо. ато опенрелей тоже раньше было вежливо, че не сделали то? или сделали?:) я не смотрел:) мне вот к примеру действительно нужен идент и он торчит, icmp частично необходим, ну echo вы там закроете если тока и еще по мелочи но не все если не хотите огрести граблями, без обратки на мыле огребете опять таки, остальное всем пофиг. так что вы там потише со своими выражениями и повежливей, ато брандмауер брандмауер, и где он?:) говорил же про отсутствующую инфраструктуру - вот и торчит хрен пойми че и куда.

Ой, да прекратите офтопить, ident не имеет отношение к статье совсем. Хотите дать офтоптый совет - пишите на мыло, заодно проверите, open-relay или нет. О конфигурации брандмауэра также явно было указано в статье, что это не рассматривается, как вам надо, такие правила и ставьте. Это не влияет на решение никак, даже если вы от это решение и не будете применять вовсе. А вот получить кучу дыр, когда файрволы на кажом хосте - запросто, в одном месте прикрыли, в другом закрыли нужное, но оставили дыру в другом месте.

дык вы первый начали, типа пацаныы там все знают, а оказалось ничерта не знают, а потом ой, и проломили:)

типа пацаныы там все знают

true. Про stp и возможные какие-либо дополнения в брандмауэре в статье всё знают. С wccp вообще смешно, этот конфиг просто столетний, когда действительно был дочерним к провайдерскому (да да, это были времена, когда прямой трафик стоил 35 центов за мегабайт, а через прокси - 10).

всем пофиг откуда он там и почему, факт в том что он не нужен а светит в мир через ваш типа фаервол, ms-sql там кстати тоже гдето торчит. нечеткие пацаны то какието там у вас получаются.

всем пофиг откуда он там и почему

Вы не поняли, я вполне не против культурно искать у кого уязвимости и предлагал вам посмеяться на моё посыпание головы пеплом. Только статья то тут причём, это же типичный слив = этакий переход на личности. mssql там точно не может быть, что-то вы другое нашли. А, понял, вы перепутали с udp 1433, это VPN для клиентов.

ну я вам просто напомнил, о чем часто забывают, а вы сами перешли, пацаны типа все знают, вот я и посмотрел повнимательней как они там все знают:) посыпать голову пеплом иногда полезно - мотивирует делать так чтоп так больше небыло. а по поводу скуэля:

Nmap scan report for 78.25.64.50 Host is up (0.054s latency). Not shown: 985 closed ports PORT STATE SERVICE 19/tcp filtered chargen 53/tcp open domain 80/tcp open http 81/tcp open hosts2-ns 135/tcp filtered msrpc 139/tcp filtered netbios-ssn 443/tcp open https 445/tcp filtered microsoft-ds 1433/tcp open ms-sql-s 1720/tcp filtered h323q931 4444/tcp open krb524 5060/tcp filtered sip 8001/tcp open vcom-tunnel 8080/tcp open http-proxy 8888/tcp open sun-answerbook

тут tcp, не шюпал что там но порт то его, и мускул гдет там светился тоже и еще чето, думаю умеете nmap'om пользоваца, мне влом в истории рыца там 250 хостов всетаки.

Ну я для вашего же реноме просил писать на почту этот оффтопик, ну опять попали пальцем в ж. Не моя это сеть, она намного теперь короче /24.

ну значит мегафон бд не обновил, но сквид то чей на всей этой цешке светица? тоже не ваш?

но сквид то чей на всей этой цешке светица

Да нихрена он там не светится. Перепроверил, собран он без wccp давно, какой-то порт зачем-то по udp открытым светит, с общей идеей файрвола вступает в противоречие, где по tcp открывается нужное, а по верхним udp открыто для прохождения юниксового traceroute, короче думать надо, а я не могу, похоже грипп подхватил, температура, думать не получается.