ot Vladsun(9-09-2006)
reiting (12)
[ dobre ]
[ zle ]
Variant za otpechatvane Naskoro mi se nalozhi da resha sledniia problem:
- poluchihme edna /22 mrezha ot IP-ta;
- triabvashe da vurnem 3 /24 mrezhi na nashiia dostavchik;
- potrebitelite sa sus statichno zadavane na IP
nastroikite;
- IP-tata na nashite mail, www, dns i t.n. survuri sushto
triabvashe da budat smeneni;
- srokut za izpulnenie na gornoto beshe edna sedmitsa (sled
tova zaminavah na more :):) );
- nevuzmozhno beshe v tozi period da smenim nastroikite na
vsichki potrebiteli;
Eto kakvo uspiah da sutvoria:
Purvata Vi rabota e da smenite TTL-a na zonite v DNS
survura s mnogo malki stoinosti - prim. 10 sek. (blagodaria,
V. Kolev) za da mozhe da se poluchi malko vreme za
razprostranenie na novite adresi. Tova se pravi sus starite
zoni i vuzmozhno nai-rano predi smianata na IP adresite (v
idealniia sluchai - vremeto ot smianata na TTL do smianata s
novite zoni da e po-golmo ot stariia TTL). Sled kato smenite
adresite mozhete spokoino da vurnete TTL-a na zonite kum
normalnite stoinosti.
Sled tova "mapvame" starite mrezhi kum novite:
Primeren
kod |
iptables -t nat -A POSTROUTING -o eth0
-s old_net/24 -j NETMAP --to new_net/24
iptables -t nat -A PREROUTING -i eth0 -d new_net/24 -j
NETMAP --to old_net/24 |
Pri men eth0 e vunshniiat interfeis, eth1
vutreshniiat.
Dotuk vsichko veche e resheno i shte raboti, no vuznikva
sledniiat problem:
- mashinite, na koito sa im smeneni nastroikite s novite
IP-ta niamat dostup do internet zaradi vtoroto pravilo.
Izbraniiat ot men variant beshe da se napravi spisuk sus
smenenite IP-ta i te da se ACCEPT-vat v "-t nat,
PREROUTING, -i eth0" predi mapvaneto. T.e:
Primeren
kod |
iptables -t nat -I PREROUTING -i eth0
-d new_ip1 -j ACCEPT
iptables -t nat -I PREROUTING -i eth0 -d new_ip2 -j
ACCEPT |
Mnogo po dobri rezultati se poluchavat, ako se izpolzva
IPSET. Togava:
Primeren
kod |
ipset -N new_net_set ipmap --network
new_net/24
iptables -t nat -I PREROUTING -i eth0 -m set --set new_net_set dst -j
ACCEPT
ipset -A new_net_set new_ip1
ipset -A new_net_set new_ip2 |
Poluchiha se obache oplakvaniia, che file transfer-a na
produkti kato ICQ i IRC ne raboti. Vse pak tova vremenno
reshenie si svurshi rabotata, dokato se smeniat nastroikite na
vsichki potrebiteli.
PP: Mnogo vnimavaite da niama target NOTRACK - skapva tseliia
NETMAP.
<< Suhranenie na poveritelna informatsiia v BD | squid (malko uputvane) >>
|