Pull to refresh

Comments 57

>файрволл
а я сижу за роутером и срал я на все файерволосрачи с высокой горки :)
Я тоже сидел, пока не оказалось, что файлопомойку лучше хранить на PC-говнороутере, а не на D-link DIR-300, что хочется иметь локальную зону в DNS и свой DHCP-сервер, не ставящие всю сетку в зависимость от моих экспериментов со своим компом. У подруги делал на шореволле мульти-ISP с одним из аплинков на роутере в локалке. Если задуматься, можно еще придумать бонусы.
>нескольких аплинков (заслуживает отдельной статьи)
Жду
Автор! Пиши ещё, завалю кармой!
/me пошел прикручивать софт к Gentoo
Что именно интересует?
Вобще всё :) И защита (ограничения запросов, трафика и.т.д.), и роутинг (строть кластер будем — нужен будет роутинг). Вобщем было бы хорошо более-менее мануала что-то с разъяснениями.
Вам нужен сетевой инженер. Я всего лишь линуксоид, слегка коснувшийся темы. Крайне советую нанять хорошего специалиста, чтобы потом не кусать локти из-за аномалий в проекте, вызванных ошибкой в проектировании сети.
Вы без этих знаний собираетесь строить кластер? Удачи!
Кластер кластеру рознь. Вот Pacemaker+OpenAIS+Aache+MySQL — тоже кластер, хотя там ничего подобного не нужно знать.
Я не один там, я больше по WEB части, но стремлюсь и к остальным знаниям. Я и не собираюсь поставить и вводить в production всё с ходу, для этого есть время для тестирования, изучения и.т.д. Мы сами для себя строим, можем тестировать столько, сколько потребуется.
Если не секрет, что и для чего кластер?
P.S>Обидеть не хотел, но как-бы это сетевые основы, и автор заметки явно дал понять, что заметка для «домохозяек»
*я, может быть, чего-то не понимаю*
В чем смысл этих зон, если в примере одной зоне соответствует один интерфейс?
Это всегда так, или только в примере?
И зачем эти зоны вводить?
В примере — да, получилось так. В сферическом случае в вакууме можно сделать физически несвязанные между собой сети за одним файрволлом (несколько интерфейсов в одной зоне), разделить компы в одной физической сети на разные зоны, сделать зону, находящуюся за какой-нибудь железкой на другом конце физической сети.
Так понятнее, спасибо. :)

Настройка несколько непривычная, но синтаксис проще, чем у iptables.
асус WL500 сдыхает от 3500-5к соединений, а я изза этого чихаю. А роутер пытаюсь на вьяте поднять (хитрый роутер, очень хитрый).
Сталкивался с шорволом, но как то не прижился (, в итоге юзаю скрипты от айпитейбла и свои.
Вероятно, ее не зря активно рекламируют — с разбегу правильно настроить систему может только специалист их поддержки, время работы которого многого стоит.
ну если поднять так — то не сложно ), а на вирт машине чуть сложней. А супорт скорее всего на меня как на больного посмотрит )). Хотя под вмвар там есть солюшн.
Не очень понимаю, зачем роутер в виртуалке. Это же сильно бьет по производительности сети из-за того, что каждый фрейм пробрасывается с железной сетевухи в виртуальную и наоборот. То есть, можно упереться в процессор и пропускную способность RAM вместо сетевой карточки.
Не зря же лучшие сетевые девайсы — специально заточенные под это дело железки, со специальной ОС и кучей проприетарного кода для обработки трафика.
Если система виртулизации умеет пробрасывать pci-устройства (например xen), то в этом есть смысл.
ой незнаю, что там сложного. я прекрасно настроил виатту с первой попытки, воружившись их мануалами. вполне доступно.
Эм… iptables не намного сложнее чем те конфиги которые вы предлагаете править. Хотя… кому как больше нравится =). Против ничего не имею =)
Для таких случаев — да, примерно то же самое. А теперь представьте, что PPPoE вдруг стал называться ppp1 из-за того, что при поднятии туннеля предыдущий pppd не успел умереть. Или что провайдер поменял Вам выдаваемый IP. Shorewall дает интересную абстракцию.
Сам я стал изучать его, когда понадобилось сделать Multi-ISP в хитрой конфигурации. Со стандартным набором команд пришлось бы писать длинные и глючные скрипты, а также долго дебажить набор правил для iptables.
И вот еще камень в сторону iptables: понимать, что куда течет по дампу таблиц бывает сложно.
Всему свое место. Это дома не страшно экспериментировать. На серверах я предпочитаю чистый iptables, поскольку там почти всегда одинаковая конфигурация, и чем меньше прослоек, тем надежнее.
if-up / if-down / cron every 5 sec на монитор + перключаловка между каналами. опция в демоне персист кажись.
скрипт пишется тоже 1 раз ).
Никогда не видел смысла в таком софте, но статья годная. Пойду попробую, авось не придётся ручками писать загрузку/сохранение правил iptables для дебиана :)
iptables-save
iptables-restore
iptables-apply

какбы написано уже )
ага, а вот чтобы не использовать б-гомерзкий rc.local нужно стянуть или написать init-скрипт.
UFO landed and left these words here
Не помню уже, в чём было дело в моём случае, но в конце концов отказался от rc.local в пользу /etc/network/interfaces, по событию up для loopback'а.
в убунте if-up /if-down работают через /etc/network/interfaces, а в rc.local кидаю что то на подобии «noip2/ventrilo/teamspeak/».

Вопрос, в Shorewall реализована iptables-apply? (откат при удачной / не удачной правке)?
Не имею представления, это к автору статьи :)
Shorewall сделан так, что не рвет имеющиеся соединения. То есть, когда в конфиге какая-то ахинея, консоль не отмирает.
Отношение к уже установленным сессиям (оставлять или обрывать) меняется опцией ADMINISABSENTMINDED в конфиге.
а в случае «бутерброд маслом вниз» интересует.

Т.е. вносим ахинею в фаервол, и в єтот момент моргает свет, коннект рвется… а ты сидел через прова который тебе ИП поменял по DHCP.
Там можно подсасывать правила из кастомного каталога. Например, shorewall restart /root/shorewall-playground прочитает совсем непроверенный конфиг без необходимости править основной.
не тестировал
ещё хорошо m0n0wall и Pfsense но для предприятия, для дома кажется лучше Shorewall, тут хоть система не урезана)
ps по установке Shorewall в разы просто в разы проще)
ммм, ИМХО, для Предприятия хорошо Checkpoint/Juniper/Cisco, для пРЕДПРИЯТИЙ вышеописанное подойдет замечательно.
Отличная штука.

Более полугода работает под Ubuntu Server 9.04
Потратил около недели на танцы с бубном и на освоение. Зато теперь трогаю только если порт нужно пробросить.

Доволен, как слон. Работает NAT-ом в домашней сетке из 4-х компов (сервер 5-й).
Хотя бы в отвязанности от конкретного дистрибутива.
Еще я как-то с разбегу не обнаружил в UFW поддержки NAT. Точнее, она там реализована путем вписывания сырых правил iptables в конфиг.
UFW не дает простого способа разделить домашнюю сеть, сеть провайдера и инет.
В общем, UFW — примитивная обвязка, подходящая только для standalone-машины. Shorewall же дает кучу возможностей по настройке маршрутизатора.
Чтобы не быть голословным: официальный гайд, следует всмотреться в секцию «ufw Masquerading», улыбнуться и закрыть вкладку.
Согласен. Изначально рассматривал решения, не привязаные к определённому дистру.
Не являюсь фанатом ubuntu (любимые дистры Gentoo и Archlinux)
Не холивара ради, просто поднял систему «на посмотреть» под Ubuntu Server, а посмотреть у меня — это хотя бы несколько дней поработать и распробовать. А т.к. всё работает без нареканий, глупо это дело сносить и ставить любимый дистр, что бы опять допиливать.
Всё это дело тихонько работает на серевере и я его особо и не трогаю.
Спасибо за статью, станет легче начать. Дома использую firehol, из минусов — отсутвие шейпера, из плюсов — более понятный конфиг, например:
version 5
interface eth0 lan
policy accept
interface eth1 internet
protection strong
server custom ssh tcp/XXX default accept
server custom torrent tcp/49161 default accept
server custom torrent udp/49163 default accept
client all accept

router lan2internet inface ppp+ outface eth1
masquerade
route all accept

router internet2lan inface tun+ outface eth0
masquerade
route all accept
Сочный firehol с хрустящим shorewall! Дни файрволлов на Хабре!
Эмм… Простите, а что сложного в iptables?
Я 2 года назад тоже считал «Что столжного в этом или том». Активно ставил друзьям Gentoo, конфигурировал боевой апач, на трех виртуалках гонял Coda…
Там нет ничего сложного, ровно как нет ничего сложного в sed. И в конфигурации ядра Linux нет ничего сложного. Только понятно это становится после того, как уже изучен некоторый объем документации.
Так вот, о чем это я… Этот стартовый объем документации в случае с shorewall сильно ниже.
ИМХО, лучше один раз с iptables разобраться.
Согласитесь, что стартовый объем документации — он на то и стартовый, чтобы изучать его в первую очередь. Iptables включить в него необходимо. По моему мнению, лучше научиться писать правила на iptables, потратив на это n часов, чем n/2 на разбор конфигов каких-либо обвязок и в конечном итоге не понимать, что именно происходит в системе. И вот тогда будет меньше вопросов, подобных этому: комментарий из соседнего топика.
Года три назад настроил iptables (man+«метод научного тыка», инета не было, чтоб погуглить и/или хауту почитать, хорошо что вообще эти слова iptables и man в голове откуда-то были), работает и работает, с год назад понадобилось кое-что изменить — еще n часов, чтоб понять, что я два года назад написал, еще n чтоб понять, что теперь надо написать. Итого 3n часов, сейчас вот шейпинг захотелось сделать и еще одну сеть, так лучше я почитаю n часов про Shorewall, чем 2n, а то и 3n часов буду разбираться с «нативными» инструментами.

В общем, имхо, если что-то постоянно не используешь, не стоит тратить время на его изучение, если есть более простые в изучении обвязки и обертки — прочитал, настроил и забыл до следующего раза.
не понял смысла. Морда к iptables кто его не осилил? Кстате когда выбирал фэрвол iptable и ipf тупо не справились с поставленой задачей, пришел к pf :) ipfw — надоело ехать через весь город к консоли если опечатался. Вообщем pf мой вечный друг.
p.s.
не для холивара ради. просто так ИМХО
Это не просто морда к таблицам. Это обвязка сразу для iptables, роутинга, шейпинга. Возможность определить логику работы маршрутизатора в одном каталоге интуитивно понятными словами.
Повода изучить pf пока не было, к сожалению. Для адекватного сравнения нужно плотно попользоваться каждым из кандидатов на звание лучшего, поэтому утверждать ничего не буду.
а shorewall умеет шейпить vlan-интерфейсы?
При том, что vlan-ы должны называться типа eth1.115, думаю, должен. Это абстракция, вносимая ниже. Возможен конфликт с алиасами, но они используются далеко не всегда.
Попробуйте. Будет интересен результат
Да не, тут не сколько дело в алиасах. Когда-то читал про проблему в очередях cbq и htb. Типа трафик они на vlan не могут шейпить.
Я не перевариваю такой табличный формат конфигов. Мне больше по душе ferm.
пользую на работе, очень доволен, при 150 юзерах чистыми iptables запарился бы разруливать
Only those users with full accounts are able to leave comments. Log in, please.