Linux + 2 ISP. И доступность внутреннего сервера через обоих провайдеров

[@Alukardd]

Это в очередном свете и для конкретного случая обставлена статья LARTC?
Для тех кто не в курсе, что это за странная аббревиатура LARTC.

p.s. Всё подобное уже давно изложено в почти старинной статье «Linux Advanced Routing & Traffic Control HOWTO» (на которую автор топика ссылается) — русский перевод имеется на opennet.ru. Вот конкретно по данному вопросу, а вообще статья вся прекрасна.

[@merlin-vrn]

Конкретно этого в LARTC нет. Если поискать по теме, то найдёте только то, что написано в «а можно и по-другому» (и то не сразу найдёте).

Здесь изложены оба способа.

[@solarfly]

Тоже сразу вспомнился LARTC. Уже хотел проглядеть его, пока не почитал комментарии.
Статья полезная, в закладки, автор спасибо.

[@merlin-vrn]

LARTC — хорошая штука для начала. Но она очень многое не охватывает, а частично описания устарели.

Посудите сами — писалось это в 2002-2003 году, а сейчас 2011…

[@loginex]

ага, сейчас в моде ospf и bgp с фул вью для юникаст трафика, а не всякие статик маршруты с PBR, но если кто хочет поизвращаться…

[@slayerhabr]

что то Вы вспомнили моду из 2002

[@MAXH0]

Тогда топик хороший пример продвижения статьями «Linux Advanced Routing & Traffic Control HOWTO». И это не менее важно, чем знать 1001 способ контроля над сетевыми пакетами.

[@mongolio]

Отличная статья. Теперь вопрос раскрыт со всех сторон.
Когда то удалось реализовать подобное на FreeBSD в PF. Если будет кем-то востребовано, постараюсь вспомнить и расписать. Хотя после этой статьи сомневаюсь, что будет спрос. =)

[@aseroth]

«Но мы не хотим тратить $100500 на приобретение штампованных оттисков «Cisco Systems»» — после этого читать не стал, еще один любитель построить сеть из говна и палок.

[@cosmobot]

Ну да, товарищ то навреное не знает сколько реально стоит 871.
Вот ему квадриллионы и мерещатся.

[@merlin-vrn]

Вообще-то знаю и настраивал их. И что? Всё равно в \infty раз дороже линукса.

[@yul]

Ну, линукс то тоже не в воздухе висит.

[@cosmobot]

У красноглазых исключительно в воздухе.:-)

Сам использую как циски так и линукс, но красноглазие противно.

[@zvirusz]

habrahabr.ru/blogs/linux/100919/

[@zvirusz]

Хм… внезапно как-то сообщение отправилось.
и 2я ссылка — habrahabr.ru/blogs/sysadm/30076/

[@merlin-vrn]

Да, действительно, как-то я пропустил эту статью. А когда-то искал, как это делать… В любом случае, там как-то очень наворочено всё, «можно проще».

Про вторую ссылку сразу: split-access делается элементарно «по LARTC». Вся суть в том, как сделать DNAT, чтобы работало через обоих…

[@merlin-vrn]

Кстати, там ошибка на картинке, которая и в википедии есть. После цепочки FORWARD нет никакого routing decision. Зато есть rerouting в OUTPUT после mangle.

[@IlyaPodkopaev]

Есть замечательная статья, в которой рассказывается, как это делается на Cisco. Но мы не хотим тратить $100500 на приобретение штампованных оттисков «Cisco Systems» на корпусе маршрутизатора.

если для Вас Cisco — всего лишь штампик, сочувствую.

[@Enot]

Мне кажется что автор намеренно начал статью с такой провакационного заяления :) Хотя конечно после него мнение об авторе и его статье у многих пользователей будет изначально негативное…

[@Gendalph]

Есть задачи, где действительно нет необходимости в аппаратных решениях уровня Cisco.
Тогда применяются мелкие сервера и есть необходимость в разных ухищрениях, вроде описанных в этой статье.

[@Enot]

Рад что наши мнения по данному вопросу совпадают :) Не очень понятно правда причем тут мой комментарий — я-то про провокационность начала поста :)
Провакационность заключается в следующем — у любого думающего человека в нашей индустрии есть понимание:
1. Что разные инструменты предназначены для разного спектра задач (причем эти спектры могут перекрываться);
2. На выбор конкретного инструмента для решения конкретных задач влияет большое кол-во факторов;

Соответственно, любой специалист на «приобретение штампованных оттисков «Cisco Systems» на корпусе» отреагирует с некоторым раздражением. Но я предположил, что сочувствовать (как предлагает Илья) автору рано — и что такая фраза вставлена для привлечения внимания к статье, а не из-за того что автор не понимает чем одни инструменты отличаются от других.

[@IlyaPodkopaev]

если к статье больше нечем привлечь внимание — тоже сочувствую :)

[@merlin-vrn]

Да вот. Видимо, ирония оказалась слишком тонкой для Хабра :(

[@merlin-vrn]

Ну простите, я не ожидал, что цискари так обидятся. Честное слово.

В следующий раз буду политкорректнее.

[@cynical2207]

Уже неделю подряд удивляюсь как в интернете возникают проблемы и просто статьи параллельные с моими проблемами. :)

В данный момент стоит задача сделать разведение двух ISP, один из которых — только RDP на один комп, второй — весь остальной траффик.

В данный момент медленно, но верно кручу FreeBSD под это дело via ipfw.

[@merlin-vrn]

В комментах говорят, что и такое делали. Так что просите статью, для более полного комплекта ;)

[@domen]

Ключевое слово для поиска setfib

[@nikoinlove]

Про ipfw не знаю, но pf умеет route-to, это как раз то что нужно. Просто пакеты пришедшие с нужного интерфейса роутить в него обратно.

pass out route-to (vr1 192.168.1.1) inet from (vr1) to! 192.168.0.0/16 no state
где 192.168.1.1 — второй роутер(недефолт), а 192.168 включено чтобы траффик локалки через роутер не гоняло

setfib тут вряд ли поможет

[@cynical2207]

В данный момент изучаю водворение в жизнь через ipfw nat, то бишь «ядерный» NAT FreeBSD.

Про простоту Pf наслышан, но пока не прыгаю на него, ибо простота она когда понимаешь суть, а я ещё не достиг того дзена. Пока на собственных ошибках и пробах учусь.

Спасибо за ответ BTW. :)