On Mon, Jul 15, 2002 at 11:19:19PM +0200, Rainer Ellinger wrote: > Jens Benecke schrieb: > > > Gucken in /usr/share/doc/iproute/ip-cref.* unter dem Stichwort ".. > > Ich habe rudimentäre Ahnung von Routing (will sagen, Dijksrta & Co > Wichtiger wird es sein, mit iptables zurecht zu kommen. Das > umfangreichste Howto dazu ist meines Wissens: Unser Firewall läuft momentan mit iptables inkl. transparentem Proxy usw. Ich denke, ich bin über die Anfängerschwierigkeiten mittlerweile hinaus. > http://freshmeat.net/projects/iptables-tutorial/ Danke, ist bereits seit einigen Monaten gebookmarkt. :) > Zu "ip" gibt es neben .../share/doc/iproute noch www.lartc.org. "ip > rule" benötigst Du nur für die offiziellen IPs der Uni, die > durchgereicht werden müssen. Dabei geht beides: die Verteilung des OK. > Traffics komplett mit "ip rule" steuern oder das meiste mit iptables > machen bzw. dort markieren und dann "ip rule" nur das Notwendigste > machen lassen. Ich will doch hoffen. Ich habe mit iptables genügend Zeit verbracht, bis es komplett vernünftig lief. :) > > SSH und anderer interaktiver Kram usw. soll weiterhin über die TUHH > > laufen, weil die so gute Latency-Zeiten und schön schnelle pings hat > > und diese Dienste wenig bis kaum Traffic erzeugen. > > Ich würde die Logik genau umgekehrt ansetzen: der gesamte Traffic geht > standardmässig über die Hansenet-DSL und nur explizit ausgewählter > Verkehr geht über die Uni-SDSL. Das erscheint mir vom Konzept > flexibler und kontrollierbarer. Dann können die Leute treiben, was sie > wollen und es werden nur die Dienste über die Uni geführt, deren > Traffic und Inhalt den vorgegebenen Bedingungen entspricht. Auf den > Uni-Uplink wird nur geroutet, für die Hansenet-DSL macht man SNAT in > der POSTROUTING Table. > > Die Alternative ist, daß wir einfach 2 Gateways zur Verfügung > > stellen und die Leute ihren Default-Gateway selbst aussuchen lassen. > > Das sowieso. Und zwar am besten, indem Du Gateway-Konzeptregel No. 1 > folgst, die lautet "Netzwerkkarten, Netzwerkkarten, Netzwerkkarten". Unser momentaner Gateway (P-Pro 200 - der Vorgänger war ein 486DX-33 :) hat IIRC momentan drei Netzwerkkarten. Er filtert mit iptables und macht Accounting (via net-acct und ein paar Perl-Skripten und einer über SSH getunnelten MySQL-Verbindung zum Hauptserver). Momentan geht da pro Monat ca 200-300GB Traffic drüber. > Ich kann immer nur mit dem Kopf schütteln, wenn ein Gateway gerade mal > eine Karte für Intranet und eine für Extern hat. Immer besser noch > eine Karte ungenutzt in petto haben. So kann man ohne den laufenden > Betrieb zu unterbrechen erweitern, umbauen, noch eine DMZ aufmachen, Das ist für missionskritische Netzwerke sicherlich sinnvoll. Für unser Netz ist das was anderes. Wenn wir eine neue Netzwerkkarte (oder Laser-Toner oder einen Schraubenzieher) haben wollen, müssen wir erstmal mindestens 3 Angebote reinholen, ein paar Monate warten, und kriegen dann von irgendeinem Bürohengst die Antwort daß es das im Sonstwas-Discount aber angeblich 0.13 Eier billiger geben soll. Deutsche Behörden(tm). > Ausserdem sollte jeder Uplink eine eigene Netzwerkkarte haben und > Router/Modem sollten direkt über eine separate Line dran hängen. D.h. > Kreuzkabel oder separater Mini-Hub. Bitte auf keinen Fall so einen > Murks, beide Router und das Gateway oder gar noch das ganze Intranet > an einen gemeinsamen Hub zu hängen. Zumal das sowieso ulkigen Spass > mit icmp redirects und anderen Effekten bringen würde. Das Netzwerk ist hier auf mehrere (6) Häuser verteilt und die sind per Infrarot (16MBit) bzw. mit Ethernet (10MBit) verbunden. Die Hubs jeweils oben auf den einzelnen werden auf Glasfaser gekoppelt und dann zusammengeführt. Im Serverraum steht ein 19"-Rack mit ein paar Switches, die den ganzen Krempel sammeln. An einem dieser Switche hängen auch beide Server und das Gateway. An der anderen Seite des Gateways hängt eine Cisco (2500?), und daran hängt der SDSL-Splitter zur TUHH. Frag mich nicht wie das damals gedacht war aber momentan funktionierts, und wir haben weder Manpower noch Ressourcen, um da gross was zu ändern. > Ich würde den Leuten aber auf jeden Fall auch eine Wahlmöglichkeit > geben: und zwar gegen die Uni-Linie. Wer Dienste oder Ziel-IPs (z.B. > Uni-intern), die standardmässig über den Uni-Uplink laufen würde.. > ..isten Leute einfacher einen Dienst an eine bestimmte Quell-IP zu > binden, als diensteorientiert ein bestimmtes Ziel-Gateway anzusteuern > ;-) Du überschätzt die User hier. :-) Ich will den Leuten, die meinen es zu brauchen, eine Möglichkeit geben, ihren Traffic-Wahn auszuleben - und die, die es nicht interessiert, weil sie sowieso nur 10MB im Monat für drei EMails und etwas rumgesurfe brauchen, nicht weiter stören. Wenn ich dich richtig verstanden habe, wäre das Problem ja aber schon dadurch gelöst, daß ich einen DHCP-Server ins Netz stelle, der 10.10.x.x IPs verteilt und die dann über Hansenet maskiere. Richtig? -- mfg, Jens Benecke /// http://www.linuxfaq.de, http://www.linux.ms This mail is an attachment? Read http://www.jensbenecke.de/misc/outlook.html http://www.hitchhikers.de - Die größte kostenlose Mitfahrzentrale im Internet
Attachment:
pgpuTYu0m53ji.pgp
Description: PGP signature