[Linuxtrent] Re: NETWORKING firewall con due connessioni adinternet

  • From: Stefano Bridi <manny@xxxxxxxxxxx>
  • To: linuxtrent-mailing-list <linuxtrent@xxxxxxxxxxxxx>
  • Date: 18 Oct 2002 11:41:03 +0200

On Fri, 2002-10-18 at 10:54, Zen wrote:
>       Sulla connessione a Internet, vero?

Yesss... sia "per navigare" che (soprattutto) per permettere l'acesso ai
nostri server dall'esterno.

> 
> > 2) E' possibile con il kernel vanilla avere una macchina sulla dmz
> > raggiungibile su due IP diversi(uno di un'abbonamento e uno di un'altro)
> 
>       Scusa, ma che indirizzi hai in DMZ?

in DMZ ho indirizzi tipo 192.168.*.* poi con un NAT sul firewall smisto
i pacchetti ognuno verso il proprio server nella DMZ...

>       Visto che hai due abbonamenti immagino siano con 2 provider
>       diversi, che ti hanno assegnato 2 range di ip diversi.

Il provider non e' lo stesso (anche se ci manca poco...) e comunque ci
sono 2 range di IP diversi (che altrimenti sarebbe mezzo fatto il
lavoro)

>       _IL_ modo di farlo e` richiedere un' autonomous system al RIPE e
>       parlare bgp. Non so perche` ma immagino che tu non abbia ne` la
>       voglia, ne` il tempo, ne` il denaro da investire in questo. :)

+/- la voglia ci sarebbe, sono gli ultimi due che scarseggiano :-(

>       Pero` sappi che ogni soluzione "alternativa" per me e`
>       un'accrocchio. Piu` o meno elegante, ma una scappatoia comunque.

Sospettavo una cosa del genere, infatti non saprei come girarla... via
DNS ci sono le latenze dei DNS appunto, e altre vie non me ne vengono in
mente...

> 
> > Quello che sono riuscito a fare fin'ora e' "bilanciare" mezzi per parte
> > i pacchetti che effettuano richieste verso l'esterno e le relative
> > risposte ovviamente...
> 
>       Ma come bilanci? Protocollo di routing (bene) o statiche (male)?

root@macchina:/# ip route      
Y.Y.Y.Y/Y dev eth3  proto kernel  scope link  src Y.Y.Y.Y 
X.X.X.X/X dev eth0  proto kernel  scope link  src X.X.X.X 
192.168.0.0/24 dev eth2  proto kernel  scope link  src 192.168.0.1
10.10.10.0/24 dev eth1  proto kernel  scope link  src 10.10.10.1 
default 
        nexthop via Y.Y.Y.Y  dev eth0 weight 1
        nexthop via X.X.X.X  dev eth3 weight 1

sbaglio candeggio?

al limite pensavo di cambiare i pesi, ma mi smbra una soluzione
piuttosto empirica.

Sarebbe bello riuscire ad accedere allo stesso server attraverso i due
link verso internet (ovviamente con IP diversi) cosi' potrei spostare
(anche a mano) un servizio da una linea ad un'altra agendo anche solo
sul DNS. Ad esempio: mi rendo conto che sto raggiungendo la quota
prepagata sulla connessione A, quindi sposto (via DNS) il server della
posta sulla connessione B. La macchina continua a rispondere su entrambi
gli IP e quindi non ci dovrebbero essere problemi, ma intanto, (secondo
i tempi del DNS) piano piano il traffico si sposta all'altro link dove
devo ancora raggiungere la quota prepagata.
In questo modo tra l'altro riuscirei a bilanciare sul lungo periodo in
modo empirico il traffico gestendolo per servizio.
Ci sono modi piu facili?
Con IPVS lo saprei fare se non hanno stravolto troppo (sono un paio
d'anni che non lo uso) ma si potrebbe fare anche con linux vanilla?

ciao (e grazie)
stef

-- 
Per iscriversi  (o disiscriversi), basta spedire un  messaggio con SOGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx

Other related posts:

  1. Home
  2. linuxtrent
  3. Archive
  4. 10-2002