Cartão de tráfego interno e cartões de tráfego externos no mesmo servidor… como configurar?

2

Isso pode soar como uma pergunta no noob, mas aqui está o que eu preciso configurar:

  • FreeBSD
  • 1 servidor com 2 placas de rede
  • 1 placa de rede para endereços IP internos (5 deles)
  • 1 placa de rede para endereços IP externos (3 deles)
  • o servidor é o servidor DNS, bem como o servidor proxy e o servidor Samba
  • um roteador Netgear SRX5308 (SNMP ativado)
  • Um switch Cisco de 48 portas (SNMP ativado)

Eu quero que o tráfego interno (192.168. . ) seja roteado em um cartão e o tráfego "externo" na outra placa de rede.

meu rc.conf é parecido com isto:

defaultrouter="174.###.49"
static_routes="office"
route_office="-net 192.0.0.0/8 192.168.1.1"
ifconfig_em0="inet 192.168.1.9 netmask 255.255.0.0 broadcast 192.168.1.255"
ifconfig_em0_alias0="inet 192.168.1.10 netmask 255.255.255.255 broadcast 192.168.1.10"
ifconfig_em0_alias1="inet 192.168.1.11 netmask 255.255.255.255 broadcast 192.168.1.11"
ifconfig_em0_alias2="inet 192.168.1.12 netmask 255.255.255.255 broadcast 192.168.1.12"
ifconfig_em0_alias3="inet 192.168.1.231 netmask 255.255.255.255 broadcast 192.168.1.231"
ifconfig_em1="inet 174.###.51 netmask 255.255.255.248 broadcast 174.###.55"
ifconfig_em1_alias0="inet 174.###.52 netmask 255.255.255.255 broadcast 174.###.52"
ifconfig_em1_alias1="inet 174.###.53 netmask 255.255.255.255 broadcast 174.###.53"

Atualmente tudo funciona, mas eu tenho em0 (interno) conectado ao switch e em1 (externo) diretamente conectado com a linha externa.

O que eu gostaria de fazer é conectar a linha externa ao mesmo switch ou ao roteador netgear para que eu possa monitorar melhor o tráfego.

Eu tentei configurar o roteador com uma DMZ (174. ###. 51 / 255.255.255.252), mas não funcionou. Eu também tentei configurar o roteador padrão para 192.168.1.1 e conectar ambos ao switch. Isso funcionou e eu consegui me conectar com o mundo externo, mas os servidores não podiam ser acessados de fora.

Eu sei que alguns roteadores têm um recurso de "reencaminhamento" para o endereço IP. você aperta "174. ###. ##" e você redireciona para 192.168.1.9 ... mas não consigo encontrá-lo este roteador.

Eu sei que eu poderia comprar um pequeno switch inteligente com SNMP e isso seria resolvido, mas acredito que o que eu quero alcançar já é possível com o que eu tenho, só não sei como configurá-lo direito. / p>

Lembre-se de que estou convertendo uma rede antiga com 3 servidores em um servidor e não posso descartar nem alterar os endereços IP por enquanto. O servidor também é um sistema de monitoramento para outros servidores, além de um backup, e possui uma pequena página html que precisa ser acessada de qualquer lugar)

Obrigado

EDITAR:

O que estou tentando alcançar é: configuração atual: ISP -> SERVER & & %código% o que eu quero é: INTERNAL -> SWITCH -> SERVER -> ISP & & ISP -> ROUTER -> SERVER

Eu também gostaria de manter o em0 para apenas 192 de tráfego e em1 para apenas 174 de tráfego de entrada e todo o tráfego de saída (este também é um servidor proxy)

EDIT 2: Vamos ver se consigo me explicar melhor. Desculpe, o inglês não é meu primeiro idioma.

Eu quero:

  • Tráfego de saída: INTERNAL -> SWITCH -> SERVER : em0
  • Tráfego de entrada: USER -> SWITCH -> SERVER -> ROUTER -> THE NET -> ROUTER -> SERVER -> SWITCH -> USER em1

Atualmente, tenho:

  • de saída: THE NET -> ROUTER -> SERVER em0
  • entrada: USER -> SWITCH -> SERVER -> THE NET -> SERVER -> SWITCH -> USER em1

A entrada é usada para backups, algum tráfego http, vários rsync e monitoração por push (algo que escrevi, monitorando os dois caminhos, verificando o servidor externo e aguardando informações do servidor externo não ao mesmo tempo que o "enviado" é feito )

    
por Fabrizio 30.07.2012 / 21:07

2 respostas

3

Se seu netgear não é um firewall, seu padrão precisa apontar para o endereço do ISP na sua interface em1 . Seu em1 pode conectar o ISP através do switch netgear, desde que a conexão com o ISP seja conectada por esse switch.

Se esse netgear for realmente um firewall, você precisará remover o endereço 174 de sua máquina freebsd, mover esse endereço para o netgear e confiar no netgear para fazer NAT . Neste ponto, seu padrão do freebsd deve apontar para o netgear e o netgear deve ser o padrão para o ISP.

Quanto ao "reencaminhamento" para 192.168.1.9, isso se chama NAT ; é um recurso comum em firewalls, e também acontece no kernel do BSD. Não sei por que você está configurando tantos endereços 192.168.x.x em em0 , mas parece um pouco estranho. Além desses pontos, não está totalmente claro o que mais você quer fazer; talvez seja um bom começo.

EDITAR :

Como você tem um verdadeiro firewall SRG5308 da Netgear , é necessário simplificar sua topologia.

  • Conecte o em0 do freebsd a uma porta LAN na netgear
  • Adicione um padrão em sua máquina do freebsd para apontar para o endereço 172.16.x.x do netgear
  • Conecte seu uplink ISP1 à porta "WAN 1" no netgear (ele tem 4 portas WAN)
  • Conecte seu uplink do ISP2 à porta "WAN 2" no netgear
  • Atribua seu endereço 174.x.x.x à WAN 1 da Netgear
  • Atribua seu endereço 70.x.x.x à WAN 2 da Netgear
  • Defina uma rota padrão no netgear para apontar para o roteador do ISP1 (isso precisará ser roteado dinamicamente para ser alterado no caso de um failover para o novo ISP)
  • Configure um script para executar a detecção e a reconfiguração de failover para ir ao roteador do ISP2 (ou talvez usar um Cisco real com EEM encaminhamento estático neste momento ???)
  • Executar NAT na WAN 1 para seus endereços e serviços 172.16.1.10
  • Executar NAT na WAN 2 para seus endereços e serviços 172.16.1.10
  • Configure todos os clientes para padrão através da máquina freebsd, que também está atuando como um roteador / proxy HTTP.
  • Mapeie seus serviços para os vários NAT do ISP com DNS dinâmico

Estou incluindo um link para a documentação do Netgear SRX5308 , que espero que ajude ; Estou um pouco preocupada com o fato de você estar passando por cima da sua cabeça, mas supondo que você tenha tentado ler os documentos você mesmo, eu responderei quaisquer perguntas que eu puder.

    
por 30.07.2012 / 21:22
1
  1. Todas essas broadcast linhas não devem estar lá a menos que você tenha uma razão espetacular para elas.
  2. É muito mais fácil especificar as máscaras de rede na notação CIDR, mas não é necessário.
  3. A maioria dos provedores de serviços de Internet só permite que o modem fale com um endereço MAC. Portanto, você não pode ter o servidor e o roteador Netgear na mesma linha externa. Eu realmente não tenho certeza do que você esperaria sair disso de qualquer maneira.
  4. Por que você acha que precisa do SNMP?

O que você especificou na pergunta deve ser possível. Só não estou claro tudo o que você está tentando realizar.

    
por 30.07.2012 / 21:19