rozdelovanie poziadaviek medzi DNS servery
Dobrý deň,
chcel by som sa spýtať ako by som mobol rozdeliť určitým pomerom požiadavky voči DNS serverom a následne meniť u koncovych pc bránu, ktorou sa pripájajú k internetu.
popis prob.:
vo firme máme internet, ktorý je dosť pomalý a firemná politika nepovoľuje používanie vlastných serverov, internetu, či DHCP či DNS serv. Všetky servery, cez ktoré sa pripájame sa nachádzaju v zahraničí a mi nemôžeme nič meniť. Chcel by som nájsť také riešenie, že by sme si zaviedli do firmy ďaľší internet a vlastný DNS server a DHCP. Požiadavky našich PC aby boli rozdelované 80% cez náš DNS a odkazované cez bránu nového netu a tých 20% cez zahraničie. Je také niečo možné?
ďakujem pekne
1. Pomocí DNS nic takového nevyřešíš.
2. Tohle je typické a zásadní porušení bezpečnostních pravidel, dej si pozor, abys někde nenarazil. Rozhodně si nech takovéhle řešení odsouhlasit někým, kdo ty firemní politiky zavedl a udržuje.
3. Tyto věci se řešívají buď pomocí routeru (třetí, tedy síťová vrstva, funguje na libovolné protokoly), nebo pomocí proxy (která má vlastní routovací tabulku, většinou i vlastní připojení; 4. a 5. vrstva), která sice funguje jen s některými protokoly, zato se dá velmi granulárně ovládát.
No porušenie fir. politiky a pravidiel to je. O tom viem, len mam nariadenie od vedenia, že sa mam o take niečo postarať, nakoľko zo zahraničia mame aj internet a to okolo 4MBit/s a to je pre cca 120 kompikov riadne malo :)Preto sa snažim o takéto niečo a preto aj tých cca 20% aby boli requesty aj na zahranične servery. Ako by to bolo podľa teba lepšie cez router alebo cez proxy. Cez proxy sa pripájame aj teraz takže neviem či by 2 proxy za sebou nerobili problémy ale myslím že ani nie, takže asi výhodnejšie riešenie by bol ten router. Ten router by mohla byť aj linuxový servrik s príslušným routovacím softom? Na taký server, nakoľko bude asi vyťažený, by bolo dobre dať asi dve NIC aby rýchlejšie spracovával požiadavky. Raz si to tu spomínal, že sa to takto rieši, len som si nezapamatal ako sa to volá. Mohol by si ma ešte trochu naviesť nech viem čo a ako, kde môžem začat :)
Ďakujem pekne
tak to si jen myslíš, že to je málo
Znám i větší sítě, kde by tohle připojení považovali za luxus 
Obecně se to řešívá předřazeným routerem, který si směruje pakety do inetu do jednoho připojení a pakety do WAN do druhé linky. Druhá varianta je pak proxy, která funguje prakticky analogicky (pokud by se ti jednalo o "klasiku" HTTP a FTP, pak prakticky stačí do sítě umístit jen nějaký linuxový stroj se Squidem a z DHCP počítačům nacpat WPAD soubor s konfigurací proxy.
Znovu ti ale musím připomenout, že vedení si může říkat co chce, ale v tomto má hlavní slovo IT oddělení firmy. Vedení totiž nerozumí IT
Jinak pozornosti tvé firmy doporučím řešení jiné, a to nasazení Citrix WANScaler. Tedy například, těchto řešení je povícero.
Takže týmto spôsobom by bolo možné rozdeliť určitú požiadaviek na zahraničný server a vačšinu na náš? Málo je to preto, že všetky aplikácie s ktorými pracujeme majú servre v zahraničí a tým pádom každý človek ktorý pracuje na lokalnej mašine vytažuje net. Snažím sa minimalizovať vytaženie linky. Preto som sa minule pýtal na to ako by sa dal spraviť ten lokalny linux win update server (FOSS) :) Hmm ten Citrix WANScaler pracuje na akom princípe?
P.S. IT oddelenie firmy som ja a ešte jeden kolega :) Vedenie sa IT nerozumie len "vie že to ide pomaly"
Ak som sa spravne pochopil musis len simulovat do zahranicia nejaky traffic a zvysok chces davat cez nove pripojenie, takze podla mna je najjednoduchsie riesit to cez router a dat par ipeciek na staru branu a zvysok pojde cez novu. Vsetko sa to riesi velmi jednoducho cez iproute a routovat zvladne hocijake pc, cize su tam minimalne naklady.
jj presne tak chcem aj simulovat traffic aby to nebolo take ocividne za zrazu nechodi cela firma na net :)Takze na DHCPcku nastavim nech prideluje zopar kompikom zahranicnu branu a vascine PC novu. Na neaky menej zatazeny servrik instalnem iproute2, ten pripojim k novemu netu a nastavim ho ako bránu. Spravne ci sa mýlim?
Ten router das do siete ako ako medziuzol do sucasnej topologie a napojis ho na obidve gw (cize bude mat dva ethernety). Net mozes rozdelovat potom podla ip rules a ipeciek jednotlivych pocitacov.
tři ethernety
->LAN, ->WAN, ->INET
edit: samozřejmě to lze realizovat i jedinou eth. kartou s IP aliasy, ale to je totální fujka, blivajz a hnus..
hmm a nestačilo by ho iba napojiť do siete a na kompocho ho nastaviť ako bránu?
to je přece samozřejmé, ale to nestačí, je to jen první krok.
Idealne je dat ho do siete, nechat na nom bezat dhcp a zvysok poriesit cez spominany iproute.
/sbin/ip ro add default via stara brana
/sbin/ip ro add default via nova brana dev ethx table naprcislo
Potom uz len pridelujes klientov, ktorych pustis cez novu branu:
/sbin/ip ru add from 10.x.x.x table naprcislo
Pripadne ak mas nejaky specialny web, z ktoreho musis pristupovat len cez stary net das tam
route add -host ipwebu gw stara brana
Ak tam mas viacej subnetov na konci skriptu je dobre dat nieco taketo, pretoze inak sa bude pokusat routovat vnutornu komunikaciu cez net, takze privatne routovanie musi prebehnut ako posledne. Ak pridas pocas prevadzky dalsie pravidlo musis toto routovanie posunut pod toto pravidlo (preto atribut prio).
/sbin/ip ru add from 10.x.x.x/16 to 10.x.x.x/16 table main prio 32400
V tvojom pripade by som to vsak asi vymenil a ako default1 nastavil novu branu, kedze klientov, co pojdu von starym netom bude vyrazne menej.
Samozrejme ethernety budu 3;o).
DHCPcko mame už zriešene skusim to tam pre študijne učely hodiť :)
Jde o to, že pokud patříte pod nějakou velkou firmu, tak lokální vedení ani lokální IT nevytváří globální bezpečnostní pravidla.
Netuším, čím se zabýváte, ani neznám charakter internetových/intranetových aplikací, které chceš řešit pomocí další linky - měl bys ale zvážit fakt, že internet je o několik řádů nebezpečnější, než WAN linka.
Pokud se snažíš vyřešit vytížení linky, pomůže už třeba lokální nasazení cache, v případě potřeby to lze rozšířit na ten WANScaler (nebo třeba WANjet od firmy f5), což jsou v podstatě sofistikované mašiny provádějící kompresi, caching a optimalizaci síťového provozu na WAN linkách. Více info zde:
http://www.citrix.com/English/ps2/products/product. asp?contentID=33886&ntref=hp_nav_US
wanjet
Presne, velmi rozhodujici je samozrejme struktura (obrazek by se hodil), pak take pranovana struktura. Udelat analyzu provozu linky, porovnat to s tim, co je dulezite pro praci co neni. V pripade, ze nepracovnich veci je moc, nasadit sktriktnejsi pravidla pro uzivatele vnitrni site (povolit jen nektere porty), a na tom povolenem zacit filtrovat, napriklad pres Squid s instalovynym SquidGuardem, ktery ti dokaze velmi efektivne zamezit nepracovnim vecem ve webovem provozu. Paklize by linku pretezovaly pracovni zalezitosti, prenest to o uroven vys, at to koukaji vyresit na cetnrale. Ty ( eth4rendil ) bys mel byt prvni, kdo by mel zdvihnout prst pri pokusu globalni bezpectnosti pravidla obejit. Pokud ovsem bude vedeni firmy po tobe slapat, nech si uplne kazdy krok potvrdit pisemne s podpisem nadrizeneho, jedina tak budes vzdycky z obliga, az se na to prijde a bude se to personalne resit.
On by i rediteli spadnul hrebinek, kdyz by mel podepsat neco ve smysl "Narizuji tomu a tomu udelat to a to. Jeho namitka o existenci smernice te a te nebude brana na zretel.". Myslim, ze v tu ranu to nebudes muset resit
hmm tak to je super riesenie :) ja som to chcel vediet a popr. spraviť hlavne kvôli tomu, že by som sa naučil niečo nové. Je rozdiel o tom čítať v knižkách a pracovať s tým v praxi. Praxou sa človek naučí najviac :)
to je sice pravda, ale na druhou stranu je to lepší zkoušet někde "v sandboxu", abys neohrozil/neomezil chod firmy. A hlavně bys měl být "kompatibilní" s firemními směrnicemi.
Však ja si skúšam na mojom notasi :)Ten je na taketo veci ako stvoreny.