Комментарии 29
Это в очередном свете и для конкретного случая обставлена статья LARTC?
Для тех кто не в курсе, что это за странная аббревиатура LARTC.
p.s. Всё подобное уже давно изложено в почти старинной статье «Linux Advanced Routing & Traffic Control HOWTO» (на которую автор топика ссылается) — русский перевод имеется на opennet.ru. Вот конкретно по данному вопросу, а вообще статья вся прекрасна.
Для тех кто не в курсе, что это за странная аббревиатура LARTC.
p.s. Всё подобное уже давно изложено в почти старинной статье «Linux Advanced Routing & Traffic Control HOWTO» (на которую автор топика ссылается) — русский перевод имеется на opennet.ru. Вот конкретно по данному вопросу, а вообще статья вся прекрасна.
Конкретно этого в LARTC нет. Если поискать по теме, то найдёте только то, что написано в «а можно и по-другому» (и то не сразу найдёте).
Здесь изложены оба способа.
Здесь изложены оба способа.
Тоже сразу вспомнился LARTC. Уже хотел проглядеть его, пока не почитал комментарии.
Статья полезная, в закладки, автор спасибо.
Статья полезная, в закладки, автор спасибо.
Тогда топик хороший пример продвижения статьями «Linux Advanced Routing & Traffic Control HOWTO». И это не менее важно, чем знать 1001 способ контроля над сетевыми пакетами.
Отличная статья. Теперь вопрос раскрыт со всех сторон.
Когда то удалось реализовать подобное на FreeBSD в PF. Если будет кем-то востребовано, постараюсь вспомнить и расписать. Хотя после этой статьи сомневаюсь, что будет спрос. =)
Когда то удалось реализовать подобное на FreeBSD в PF. Если будет кем-то востребовано, постараюсь вспомнить и расписать. Хотя после этой статьи сомневаюсь, что будет спрос. =)
«Но мы не хотим тратить $100500 на приобретение штампованных оттисков «Cisco Systems»» — после этого читать не стал, еще один любитель построить сеть из говна и палок.
Хм… внезапно как-то сообщение отправилось.
и 2я ссылка — habrahabr.ru/blogs/sysadm/30076/
и 2я ссылка — habrahabr.ru/blogs/sysadm/30076/
Да, действительно, как-то я пропустил эту статью. А когда-то искал, как это делать… В любом случае, там как-то очень наворочено всё, «можно проще».
Про вторую ссылку сразу: split-access делается элементарно «по LARTC». Вся суть в том, как сделать DNAT, чтобы работало через обоих…
Про вторую ссылку сразу: split-access делается элементарно «по LARTC». Вся суть в том, как сделать DNAT, чтобы работало через обоих…
Кстати, там ошибка на картинке, которая и в википедии есть. После цепочки FORWARD нет никакого routing decision. Зато есть rerouting в OUTPUT после mangle.
Есть замечательная статья, в которой рассказывается, как это делается на Cisco. Но мы не хотим тратить $100500 на приобретение штампованных оттисков «Cisco Systems» на корпусе маршрутизатора.
если для Вас Cisco — всего лишь штампик, сочувствую.
если для Вас Cisco — всего лишь штампик, сочувствую.
Мне кажется что автор намеренно начал статью с такой провакационного заяления :) Хотя конечно после него мнение об авторе и его статье у многих пользователей будет изначально негативное…
Есть задачи, где действительно нет необходимости в аппаратных решениях уровня Cisco.
Тогда применяются мелкие сервера и есть необходимость в разных ухищрениях, вроде описанных в этой статье.
Тогда применяются мелкие сервера и есть необходимость в разных ухищрениях, вроде описанных в этой статье.
Рад что наши мнения по данному вопросу совпадают :) Не очень понятно правда причем тут мой комментарий — я-то про провокационность начала поста :)
Провакационность заключается в следующем — у любого думающего человека в нашей индустрии есть понимание:
1. Что разные инструменты предназначены для разного спектра задач (причем эти спектры могут перекрываться);
2. На выбор конкретного инструмента для решения конкретных задач влияет большое кол-во факторов;
Соответственно, любой специалист на «приобретение штампованных оттисков «Cisco Systems» на корпусе» отреагирует с некоторым раздражением. Но я предположил, что сочувствовать (как предлагает Илья) автору рано — и что такая фраза вставлена для привлечения внимания к статье, а не из-за того что автор не понимает чем одни инструменты отличаются от других.
Провакационность заключается в следующем — у любого думающего человека в нашей индустрии есть понимание:
1. Что разные инструменты предназначены для разного спектра задач (причем эти спектры могут перекрываться);
2. На выбор конкретного инструмента для решения конкретных задач влияет большое кол-во факторов;
Соответственно, любой специалист на «приобретение штампованных оттисков «Cisco Systems» на корпусе» отреагирует с некоторым раздражением. Но я предположил, что сочувствовать (как предлагает Илья) автору рано — и что такая фраза вставлена для привлечения внимания к статье, а не из-за того что автор не понимает чем одни инструменты отличаются от других.
если к статье больше нечем привлечь внимание — тоже сочувствую :)
Да вот. Видимо, ирония оказалась слишком тонкой для Хабра :(
Ну простите, я не ожидал, что цискари так обидятся. Честное слово.
В следующий раз буду политкорректнее.
В следующий раз буду политкорректнее.
Уже неделю подряд удивляюсь как в интернете возникают проблемы и просто статьи параллельные с моими проблемами. :)
В данный момент стоит задача сделать разведение двух ISP, один из которых — только RDP на один комп, второй — весь остальной траффик.
В данный момент медленно, но верно кручу FreeBSD под это дело via ipfw.
В данный момент стоит задача сделать разведение двух ISP, один из которых — только RDP на один комп, второй — весь остальной траффик.
В данный момент медленно, но верно кручу FreeBSD под это дело via ipfw.
В комментах говорят, что и такое делали. Так что просите статью, для более полного комплекта ;)
Ключевое слово для поиска setfib
Про ipfw не знаю, но pf умеет route-to, это как раз то что нужно. Просто пакеты пришедшие с нужного интерфейса роутить в него обратно.
pass out route-to (vr1 192.168.1.1) inet from (vr1) to! 192.168.0.0/16 no state
где 192.168.1.1 — второй роутер(недефолт), а 192.168 включено чтобы траффик локалки через роутер не гоняло
setfib тут вряд ли поможет
pass out route-to (vr1 192.168.1.1) inet from (vr1) to! 192.168.0.0/16 no state
где 192.168.1.1 — второй роутер(недефолт), а 192.168 включено чтобы траффик локалки через роутер не гоняло
setfib тут вряд ли поможет
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Linux + 2 ISP. И доступность внутреннего сервера через обоих провайдеров