Здрвейте!

Проблема е решен

Ето как: както писах преди имаше разлика в рутирането на двата линукс сървъра. Оказа се, че първия ритура изходящия трафик чрез SNAT, а втория с MASQUERADE. Съответно първия пренаписва само destination адреса и вътрешния windows сървър трябва да отговаря задължително през гейта си. Втория пренаписва и sourse и destination, от където windows-a отговаря на компютър в неговата си мрежа.

И така решението: и двата линукса ползват MASQUERADE, като така windows-a отговаря винаги на компютър в неговата вътрешна мрежа. Другото е работа на connection tracking-a на линукс машините.

По този начин няма значение колко са сървърите, може и да са 2 както в моя случай, може и да са 5, 10, няма значение, винаги ще работи. Тествах и работи нормално.

Ако падне единия сървър, клиентите които са се закачили през него ще бъдат разкачени, но клинтския софтуер е така направен че веднага да се рекънектва към някой от другите IP-та, така че ако има някакво прекъсване то ще е за 2-3-5 секунди, което е в рамките на допустимото. Важното е до сървъра да има винаги връзка. По принцип се предполага, че скапване на сървър може да се случи рядко, ако въобще се случи, така че това решение напълно ни удовлетворява. Аз съм доволен и шефа е доволен.

Както винаги сложните проблеми имат елементарно и елегантно решение!

lod, благодаря за инфото, ще разгледам твоя вариант. Но на мен ми се иска да не са разделени на primary и secondary, а да си работят и двата едновременно.

Между другото всеки сървър си рутира през кой да е доставчик и от тази гледна точка проблеми няма.

Днес обаче забелязах нещо странно. Двата сървъра рутират по различен начин. Първия пренаписва само destination адреса, докато source остава на клиента. Докато втория освен че пренаписва destination-a, пренаписва и source-a със своя собствен вътрешен адрес.

Това, което прави втория е много хубаво, понеже ако и двата пренаписват пакета със собствените си вътрешни адреси, то тогава windows-сървъра въобще няма да ползва gateway-a си когато отговаря, понеже ще отговаря на компютър в неговата мрежа.

Въпроса е защо работят по различен начин и това като че ли работи по този начин само когато на windows-кия сървър има добавено второ IP. Нещо не ми е много ясно какво точно се получава и това е което утре ще се опитам да разбера. Мисля че проблема почва да се изяснява и решението е близо...

Това е последния коментар, който ще напиша по повод твои думи, защото нямам цял ден на разположение.

Ако във вашата фирма шефа ти е дебел, тъп и фъфли като говори и е там щото е братовчед на не знам си кой, в нашата фирма шефа на моя отдел е човека с най-голям опит и е назначен щото си разбира от работата.

Да правя клъстер за да направя пренасочване на един порт е безсмислено щото е видно че проблема е в windows-а, и когато нещата при него се оправят всичко ще работи както трябва. Аз от windows-и не разбирам, още по-малко от server2003. Просто не съм се занимавал с тях и затова най-учтиво попитах какво може да се направи за да тръгнат нещата.

Забележи, че аз съм задал конкретен въпрос за конкретен проблем. Ти каза ли ми как да оправя рутирането на windows-а? Не. Вместо това почна да изсипваш скриптове за линукса, да ме учиш на мрежови протоколи и т.н.

Ако не знаеш как се решава конкретния проблем , просто си цъкни на следващата тема във форума!

Въобще нямам намерение да споря кой е по-по-най, щото първо не за това съм дошъл тук и второ щото нито тебе те интересува аз колко знам, още по-малко мен ме интересува ти колко знаеш.

Явно не четеш какво пиша.
Казах, че за server2003 се грижат други хора, които да го правят в клъстер, затова не говоря за него.

Ти не осъзнаваш колко са сериозни нещата и ако аз съм ти шеф и ти поставя задача да решиш този проблем, и ти го направиш по начина, по който си го описал и трябва да те чакам 15 мин за да връщаш имидж, през които 15 мин няма достъп до вътрешния сървър, ще бъдеш дисциплинарно уволнен на момента. Ако сървъра не работи 15 мин, фирмата ще претърпи огромни загуби и ще има хиляди недоволни клиенти, които по право може да поискат обещетения по съдебен път,  и ти ще си този който ще ги плати, щото си правил глупости.

Що се отнася до скриптовете ти:

  echo " $sshd    is down"
  echo `/etc/init.d/ssh restart `

да рестартираш процес, който не е стартиран показва колко си мислел, когато си го писал.

Що са скрипт, да проверява дали работи апачето, че то ако спира когато си иска, представи си що за сървър имаш.

И още нещо, защита от SYN FLOOD се прави с ограничаване на SYN пакетите за 1 време, а не със скрипт който блокира IP-та след като вече е наводнен.

Да правя клъстер от 3 машини, само за да пренасоча 1 порт... сигурно се шегуваш

За пореден път се убеждавам, че всеки си мисли че е по-умен от този, който задава въпроса, и вместо да му отговорят на въпроса или да замълчат ако нямат какво да кажат, почват да пишат колко глупаво и сложно решение търсиш и че има мноооого "по-лесни и ефективни" начини...

Нека админа да трие темата ако сметне за необходимо!

Мислиш ли че не ми е минало през ум да пусна 3 ланки на вътрешния за 3-та доставчика и да не се занимавам с рутиране и т.н. Но такива са изискванията. Сървъра винаги трябва да бъде скрит зад firewall и да има нет независимо при какви обстоятелства!

И не е въпроса дали ще умре лунукса, а дали няма да умре хардуера, макар че ми се е случвало да ми изчезне boot сектора.

И тази логика не е моя, а е общо приета. Винаги трябва да има резерва когато става дума за сериозни неща. Винаги! Защо големите интернет доставчици и организации имат поне по 1 backup оптично трасе? По същата логига трябва да си направят 10.

Това, което предлагаш според мен не е решение на моя проблем. Вероятно за друг, който няма претенции за защита на данни и непрекъсваемост на интернета това ще е перфектно решение. Но за мен не е.

Защо да има едновременно и рутер и директна връзка. Може би идеята ти е мрежовата карта , на която е директния нет да е забранена, и при срив на линуска, някой да я разреши. Ами ако няма никой в офиса?? Тогава какво правим? Ами ако случайно се скапе линукса и в този момент спре нета, който е закачен директно??

А ако едновременно работят и двете, какъв е смисъла от линуска изобщо.

Разбираш ли ме. Нещата никак не са елементарни и решението трябва да е максимално сигурно и да не зависи от човешкия фактор.

Значи на вътрешния сървър работи софтуер, който трябва да работи 99.99999% от времето. Спирания на нета са недопустими! На самия сървър не му трябва интернет, т.е. трябва му дотолкова доколкото клиентите да могат да се връзват с него, но самия той на вън не излиза, той приема само заявки от клиенти на един единствен порт и се връзва с един друг сървър, който се явява източник на данни за него, но е през вътрешната мрежа и там проблеми няма.

Пренасочването през двата линукс сървъра е с цел да се гарантира поне един работещ gateway с поне един работещ интернет. Всичко се случва и е допустимо един от тях да не работи. Същото важи и за интернета. Като цяло идеята е да се презапаси цялата система срещу хардуерни дефекти и прекъсване на някой от даставчиците, що се отнася до свързаноста със интернет.

Скапването на вътрешния сървър не е моя грижа, там се занимават други хора да си го пуснат в клъстер, моята задача е да гарантирам non-stop интернет.

Относно твоя коментар, ако умре default gateway-a не е проблем, стига през другия сървър клиентите да могат да се връзват. Ето защо двата линукса трябва да са напълно независими един от друг.

Така, прочетох ти поста и разбрах идеята. Всичко е просто и ясно до момента какво ще стане ако се скапе първия сървър, а заявките пристигат от втория?

Не напразно са два сървърите и НЕ трябва нито един от тях да зависи от другия. Така както си описал решението, функционалноста на вротия зависи от това , първия винаги да е на линия.

Ок щом ти е ясно Успех!!!

Имам чувството че нещо си се обидил, не знам защо, но ако вината е в мен моля да ме извиниш. Ти всъшност си ми описал проблема по-подробно, но не си предложил решение. Аз както споменах знам какъв е проблема, но не знам как да го реша.

Ми не ...  Защо да  ползвам такъв срипт!   + това си има доста по  лесни начини  защо да пишем романи !!!  след като server 2003  може без проблем да си route  мрежи и тн !!!!

След като казваш че има по-лесни начини, моляте да споделиш с мен, какво и как трябва да се настрои на този Server 2003 за да работи нормално пренасочването.

Получава се това, че независимо през кой сървър влезе заявката, вътрешния сървър си ползва default gateway-a.

Е аз съм го написал същото само че с други думи. На мен ми е ясно че това е проблема. Въпроса е как се решава.

Да, всъщност не съм описал подробно проблема. Имам предвид че пренасочването от втория сървър не работи като цяло.

След като анализирах пакетите със wireshark установих, че втория сървър успешно пренасочва пакетите към вътрешния сървър и те пристигат до него, само че вътрешния сървър пуска пакета с отговора към първия сървър, а не към този от който е дошъл, т.е. към втория.

Ок, ето и как е организирана мрежата. На външните сървъри има 4 мрежови карти, 3 от които са външни адреси и една е от вътрешна мрежа 192.168.1.0/24. На вътрешния сървър има само 1 мрежова карта с IP от вътрешната мрежа.

Здравейте. Имам следния казус, който не знам как да реша.

Имам 3 ISP провайдъра с реални адреси и 2 сървъра, на всеки от който има по 1 адрес от всеки доставчик. Пренасочил съм един и същ порт от всеки от IP-адресите и от двата сървъра към 1 друг вътрешен сървър. Идеята е да се защити вътрешния сървър, другита сървъри са 2 за да се гарантира по-голяма надеждност, а се пренасочват всички IP-за да се гарантира връзка до вътрешния сървър през кой да е интернет доставчик.

Външните сървъри са с Linux, вътрешния е с Windows Server 2003.

На вътрешния сървър е настроен default gateway на единия сървър и пренасочването от вън през този сървър си работи. Проблема е, че пренасочването през дргугия сървър, който не е default gateway за вътрешния сървър не работи. Получава се това, че независимо през кой сървър влезе заявката, вътрешния сървър си ползва default gateway-a.

Ако добавя на вътрешния сървър втори gateway, работи, но със някакво закъснение от 10-15 секунди, докато се усети че първия гейт не върши работа. Но тези закъснения са недопустими.

Та въпроса е какво да се направи, за да може вътрешния сървър да работи и с двата едновременно?