Подскажите пожалуйста направление.
Имеется старый сервер на openSUSE 11.0 с демонами SMB, FTP, NTP, SQUID, SOCKS, Postfix, Dovecot, так же, этот сервер является ещё и дополнительным шлюзом в интернет (то есть имеет 2 сетевых интерфейса + NAT на некоторые внешние IP подсети во внутреннюю сеть).
Естественно у пользователей везде прописан IP, или доменное имя старого сервера.
Хочу разделить функционал между несколькими новыми серверами и оставить старый сервер только в роли маршрутизатора.
Можно ли, и если можно то каким образом, перенастроить SuseFirewall для решения данной задачи без переписывания у пользователей конфигурационных файлов?
Понятно что на вновь устанавливаемых, или на обновляемых пользовательских системах будут уже новые настройки. Вопрос как сделать перенаправление трафика на новые серверы сейчас.
вс, 25/02/2018 - 00:58
#1
Как разделить функции старого сервера между новыми, если у пользователей прописан только старый?
Если я правильно тебя понял, тебе нужно в настройках сети на новых серверах просто указать ip старого сервера в качестве DNS-сервера и интернет-шлюза... Он ведь так и останется в будущем маршрутизатором...
Не совсем так. Мне нужно растащить все сервисы со старого сервера на новые, по одному сервису на каждый новый сервер.
Например, сейчас samba вместе с ftp работает на сервере 192.168.100.7, он же и дополнительный маршрутизатор, у клиентов в pam_mount прописаны коннекты к шарам на этот 100.7.
Задача вынести samba, ftp и другие сервисы на новые сервера с адресами 100.20, 100.21, 100.... соответственно, но у клиентов так и останутся прописанные коннекты на 100.7. То есть сам 100.7 должен каким-то образом перенаправить прямой и обратный траффик на 100.20, или 100.21 в зависимости от номера порта входящего на 100.7 запроса.
Нужно как то подменять адреса в пакетах, или говорить клиенту, что запрашиваемая служба находится по другому адресу.
Если сделать так как ты предлагаешь, то толку от того что клиент сунется на порт 445, или 21 маршрутизатора 192.168.100.7 нет, так как все сервера находятся внутри одной подсети и даже если попытаться настроить портмаппинг, то он не сработает.
Или я не совсем понимаю, точнее совсем не понимаю, как работает netfilter в ядре.
Понял.
Появились сразу две идеи, но проверить их пока не могу.
1. На старом серваке создать линк на шару нового, и указать линк в самбе как шару на старом.
2. Примонтировать нужную директорию с нового сервака на старый, и указать в самбе старого как шару.
Эти способы не позволят мне в дальнейшем заменить этот компьютер 100.7 на нормальный маршрутизатор, так каксамба, по сути, остаётся на нём.
Я знаю, что можно перенаправлять траффик через нетфильтр ядра таким образом, чтобы это выглядело как работа через портмаппинг, только в локальной сети. Но я не знаю как это называется.
Склоняюсь уже к варианту задать второй адрес на 100.7, например 100.21 на внутреннем интерфейсе. Проитись по компам пользователей и запустить там скрипт, который sed-ом заменит адреса. Пототм поднять новый сервер с адресом 100.30 например, настроить на нём самбу, перенести файлы. А потом на старом сервере удалить второй адрес и назначить его новому. Но это придётся делать ночью.
Мы же это пытаемся решить...
На новом серваке расшариваешь как положенно директорию. Затем ее монтируешь в старом серваке и так же расшариваешь. По сути, новые пользователи будут в нее попадать напрямую на новый сервак, а старые - через старый. Когда старых не останется, отключишь самбу на старом, и отменишь монтирование...
Только сейчас понял, что ты хочешь сразу всё отключить на старом... Так ты просто не знаешь как настроить Susefirewall2? Если до завтра подождешь, я попробую описать конфиг для проброса на конкретный ip... Со смарта не удобно и сайт глючит (или браузер)
Да, я не понимаю что именно нужно настраивать в SuseFirewall2, так как не знаю что за процессы должны происходить с пакетами в моём случае.
Конечно подожду. Я эту проблему решаю уже более полугода.
Обновление пользовательских ПК - процесс очень застянутый во времени. На данный момент я обновляю клиентов ещё с openSUSE 12.1, и то, только из-за старого браузера.
Попробуй так (для самбы): Открой в яст настройки брандмауера, выбери "Трансляция сетевых адресов", включи галочку, и нажми "Добавить".
Сеть источника: 192.168.100.0
Протокол: tcp
Требуемый IP: пусто
Требуемый Port: 137 138 139 445 (через пробелы)
Перенаправить на IP: 192.168.100.20
Перенаправить на порт: 137 138 139 445 (через пробелы)
Затем добавь всё то же, только для протокола udp
Спасибо, попробую на досуге, быстрого ответа не гарантирую.
Можно попросить сам файл /etc/sysconfig/SuSEfirewall2 с этими настройками, или хотя бы те его части в которые входят эти параметры.
Через графику, или консольный яст, настроить конечно проще, но я хотел бы разобраться в сути происходящих изменений. Хочу понять как это работает. Адрес: mcp101t(гав-гав)mail.ru , ну, или прямо здесь.
На живой системе экспериментов не хочется, придётся поднять виртуальную подсеть, и виртуальные-же машины в ней.
Если не заработает, попробуй в "Требуемый IP" прописать 192.168.100.7
Увы, не смогу сам конфиг выложить... Я на Перекатиполе... А тебе писал по памяти с подглядыванием в инет... Если не понял - в поле уже месяц как firewalld пользуют... там еще круче с настройками ))))
А чтоб разобраться: сохрани оригиналькый конфиг, внеси изменения и посмотри, где и что изменилось