faq обучение настройка
Текущее время: Вт июл 08, 2025 04:31

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 4 ] 
Автор Сообщение
СообщениеДобавлено: Чт фев 16, 2012 12:49 
Не в сети

Зарегистрирован: Чт янв 26, 2012 09:28
Сообщений: 15
Добрый день,

У меня возник вопрос, каким образом лучше всего опубликовать несколько серверов (2 web и 1 mail) с помощью D-Link DFL-1660, при условии, что веб и почтовые сервера должны иметь каждый собственный публичный IP.

Провайдер отдает подсеть /28(wan1net) которая приходит в wan1. Например, один IP(80.80.80.1) отдан для самого DFL-1660, из под него работает NAT для локальной сети. А вот для веб серверов(80.80.80.2, 80.80.80.3) и почтового сервера(80.80.80.4) необходимо использовать отдельные IP.

Немного ознакомившись с документацией и почитав форум понял, что достигнуть необходимого результата можно множеством способов, а вот какой будет использовать оптимально не могу решить, просьба поделится опытом людей давно пользующимися DFLами, так как у D-Link я не нашел Best Practice на эту тему.

Найденные мною способы реализации:
1. Настроить перенаправление портов с помощью дополнительных IP-адресов (http://dlink.ru/ru/faq/85/481.html). Из неприятных моментов, при этом способе пингуется только IP фаервола, что не очень хорошо для публичных сервернов на мой взгляд. Можно конечно пробросить icmp на локальный адрес, но имхо слишком много правил получается в итоге, для столь простой задачи.
2. Сделать Transparent Mode между wan и dmz. Но насколько я понял это не самое красивое решение и не позволяет, если в будущем понадобиться использовать высокую отказоустойчивость (High Availability Clusters, HA) без перехода на другой способ публикации этих серверов.
3. Использовать Proxy ARP, лично не успел попробовать, но судя по всему все склоняется к этому решению.
4. Так же прочитал, на форуме, что реализацией может служить использование Маршрутизации на основе правил (PBR). Попробовать тоже не успел.

Так же вопрос к товарищам уже имеющим опыт работы на DFL, Transparent Mode и Proxy ARP имеют какие-нибудь ограничения по защите IP в зоне DMZ (скажем можно использовать Application Layer Gateways, ALG для почтового сервера)?

Заранее благодарен за помощь.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт фев 16, 2012 16:12 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
Вообще говоря, я не вижу ничего плохого в назначении доп. адресов на WAN1 порту и проброс нужных сервисов (в том числе пинга) на нужные серверы.

Кол-во правил будет то же - 2. Но в группе сервисов - нужные для проброса. Например http-all + ping-inbound.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Чт фев 16, 2012 22:22 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
В вашем (простом случае) все вполне делается на дополнительных адресах и портмаппинге, как пишет Юрий

Если хочется красиво, то делайте transparent mode - на серверах белые IP, шлюз провайдерский, но при этом DFL рулит трафиком как надо (например, извне только разрешенные порты)
Этот вариант будет крайне необходим если у вас появится IP телефония через DFL
Дополнительным бонусом будет то, что в случае крайней необходимости можно убрать DFL и сервера будут работать напрямую

Для варианта ARP proxy надо будет еще один IP выделить под дополнительный шлюз т.к. на внутренний интерфейс выделяется меньшая подсеть, чем у вас есть. Ваша /28 не так велика, чтобы разбрасываться адресами

PBR в вашем случае не поможет

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Пт фев 17, 2012 15:27 
Не в сети

Зарегистрирован: Чт янв 26, 2012 09:28
Сообщений: 15
Уважаемые коллеги, YuriAM и danilovav, выражаю Вам свою признательность за оказанную помощь в выборе подходящего решения.


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 4 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 240


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB