[Linuxtrent] Re: NETWORKING firewall con due connessioni ad internet
- From: Zen <zen@xxxxxxxxx>
- To: linuxtrent@xxxxxxxxxxxxx
- Date: Fri, 18 Oct 2002 12:30:48 +0200
On Fri, Oct 18, 2002 at 11:41:03AM +0200, Stefano Bridi wrote:
> in DMZ ho indirizzi tipo 192.168.*.* poi con un NAT sul firewall smisto
> i pacchetti ognuno verso il proprio server nella DMZ...
Ah, ok. Quindi le due schede esterne poi nattano verso la
macchina interessata.
Praticamente hai due indirizzi pubblici per ogni macchina
interna.
> Sospettavo una cosa del genere, infatti non saprei come girarla... via
> DNS ci sono le latenze dei DNS appunto, e altre vie non me ne vengono in
> mente...
Beh, se il dns lo gestisci tu in casa, puoi abbassare il TTL dei
record per minimizzare il tempo di down, anche se questo ti
aumenta il traffico verso i dns.
> nexthop via Y.Y.Y.Y dev eth0 weight 1
> nexthop via X.X.X.X dev eth3 weight 1
>
> sbaglio candeggio?
> al limite pensavo di cambiare i pesi, ma mi smbra una soluzione
> piuttosto empirica.
In generale, se una linea ha 2 volte la banda dell'altra bisogna
che sia il doppio piu` "pesante" dell'altra.
Pero` hai tutta un'altra serie di casini (routing asimmetrico) a
meno che i pacchetti che natti verso la eth0 non abbiano come
source un ip della rete che dall'esterno si vede dietro il
router Y.Y.Y.Y, e lo stesso per eth3.
Se puoi mettere mano ai due router, se il firewall vede un
protocollo di routing, basta che come dicevo entrambi annuncino
una default. Almeno se uno muore i pacchetti escono tutti
dall'altro. Ovvio che il traffico dall'esterno diretto alla rete
annunciata dal router morto te lo perdi.
E se il dns sta sulla rete del router morto, sei a piedi,
anche se ne cambi i contenuti poi nessuno lo interroga piu`. :)
Io e` un setup che tenderei a fare comunque sui router, mettendo
ad esempio in HSRP le ethernet, ma mi rendo conto che potresti
non avere accesso alle macchine, o potrebbero non fare hsrp.
> Sarebbe bello riuscire ad accedere allo stesso server attraverso i due
> link verso internet (ovviamente con IP diversi) cosi' potrei spostare
> (anche a mano) un servizio da una linea ad un'altra agendo anche solo
> sul DNS. Ad esempio: mi rendo conto che sto raggiungendo la quota
Puoi sempre far corrispondere a
pinco.azienda.it due indirizzi, uno della rete Y.Y.Y.Y e uno
della X.X.X.X, e fai round-robin sul DNS.
> devo ancora raggiungere la quota prepagata.
Eheh, poi compri una ricarica e telefoni? :P
> Ci sono modi piu facili?
Non te lo so dire... a parte quello di sopra.
> Con IPVS lo saprei fare se non hanno stravolto troppo (sono un paio
> d'anni che non lo uso) ma si potrebbe fare anche con linux vanilla?
Mah, a naso non basta che su eth0 tu faccia nat da Y.Y.Y.10
verso 192.168.x.10, e su eth1 tu lo faccia da X.X.X.10 sempre
verso 192.168.x.10?
O mi sfugge qualcosa?
ciao,
--
My home isn't cluttered; it's "passage restrictive."
zen@xxxxxxxxx . Geek . And proud of it .
http://www.kill-9.it/jargon/html/entry/zen.html
--
Per iscriversi (o disiscriversi), basta spedire un messaggio con SOGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx
Other related posts: