Subnets.ru

Добрый день!

Поделитесь опытом плз, машину с биллингом предполагается разместить в серой сети, встает вопрос как выпустить ее в интернет, если на NAS (тут установлен MPD) поднять nat (например freebsd kernel nat), то все in на внешнем интерфейсе пакеты будут пробегать через нат, и все ради того чтоб выпустить одну машину в интернет, а это накладные расходы.... Кто как у себя реализовывает??? Или проще поднять proxy???

привет

смотря какие целы ты преследуешь, т.е. зачем именно инет на биллинге нужен ? для того что бы просто с него куда то ходить ? или нужно что бы web-интерфейс биллинга было видно из инета ?

borin писал(а):Поделитесь опытом плз

да тут и делиться нечем, все по разному делают, кому как удобнее сделать в его ситуации и однозначное что то ответить на твой вопрос не получится.

возможные варианты:
1. реальник и жестокий firewall на INPUT на самом сервере
2. серый адрес за NAT`ом с пробросом каких либо портов на биллинг
3.

borin писал(а):если на NAS (тут установлен MPD) поднять nat (например freebsd kernel nat) то все in на внешнем интерфейсе пакеты будут пробегать через нат

это сомтря как настроить, как правила напишешь, так и будет бегать
можно поднять так называемый static NAT, когда производится прямая трансляция адреса в адрес (РЕАЛЬНИК<->СЕРЫЙ)
4. самый обычный и привычный NAT

root писал(а):смотря какие целы ты преследуешь, т.е. зачем именно инет на биллинге нужен ? для того что бы просто с него куда то ходить ? или нужно что бы web-интерфейс биллинга было видно из инета ?

Цель банальная - обновление, как саму ОС, так и сам биллинг. Вэб интрефейс проксируется через nginx.

ну так у тя наверняка есть NAT для клиентов с серыми адресами, кто тебе мешает и биллинг выпустить через него же ?

root писал(а):ну так у тя наверняка есть NAT для клиентов с серыми адресами, кто тебе мешает и биллинг выпустить через него же ?

Будут одни реальники, нат не планируется вовсе... За идеи спасибо

borin писал(а):

root писал(а):ну так у тя наверняка есть NAT для клиентов с серыми адресами, кто тебе мешает и биллинг выпустить через него же ?

Будут одни реальники, нат не планируется вовсе... За идеи спасибо

Натить как реальную сеть, так и сеть с серыми ip, точнее с одним серым ip. А если честно - проблемы не понимаю. Такое ощущение, что у вас порты на свитче кончились.
2 сетевых в биллинг, одну в инет, вторую в локальную сеть. Правда проблема может быть, если у вас на аплинке всего один IP адрес, как у меня было в свое время.

Андрей писал(а):А если честно - проблемы не понимаю.

человек заботиться о безопасности биллинг сервера

borin писал(а):Будут одни реальники, нат не планируется вовсе

ясно
вот потому IPv4 уже и закончился НУ приятного тебе гемороя с ботнетами и прочим хламом, который будет жить на компах твоих юзеров

borin писал(а): За идеи спасибо

пжалста

root писал(а):вот потому IPv4 уже и закончился

Не, последний пул азиаты купили и на 5 поделили.

root писал(а):НУ приятного тебе гемороя с ботнетами и прочим хламом, который будет жить на компах твоих юзеров

+1.

root писал(а):человек заботиться о безопасности биллинг сервера

Эт получается что нагрузить сервер доступа трафиком для биллинга называется безопасностью? Хорошо. В сервер доступа 3ю сетевую, а на свитче вилан под биллинг без роутинга - самая крутая безопасность. И входить на биллинг через сервер доступа + пароли километровые, ну и керберос привязать можно.

Андрей писал(а):Эт получается что нагрузить сервер доступа трафиком для биллинга называется безопасностью?

Андрей, человек ясно написал:

borin писал(а):Цель банальная - обновление, как саму ОС, так и сам биллинг.

1. такие операции происходят не часто
2. "грузить" это ну никак не назвать, по сравнению с трафиком от любого юзера это слезы

не надо городить огород с картами, да и не во всякий сервер можно доставить сетевуху. если уж делать по твоему способу то только через вланы.
либо вообще поступить банально: нужно совершить эти операции - поднял NAT, закончил с обновлениями - замочил NAT.

Андрей писал(а):самая крутая безопасность.

м.б. только в одном случае - сервер не присоединен к сети и выключен по питанию

root писал(а):м.б. только в одном случае - сервер не присоединен к сети и выключен по питанию

Закопать по глубже и цементом залить, чтоб кто вдруг подключить не вздумал