Денис Черносов пишет: > У нас есть головная компания. А у неё есть сервера, к которым мы должны > без проблем подключаться. Они нам дают настройки в виде fqdn:port
Разрешить исходящие подключения (удаленный порт видимо не меняется)? > Но сами сервера сначала были в России у одного хостера, потом у другого, > сейчас находятся в Америке (причем несколько штук и в разных штатах). И > всё это может относительно динамично меняться и, разумеется, безо > всякого предупреждения. При статичности fqdn. Если директор не может > посмотреть финансовую отчетность, потому что изменились настройки > firewall, нервничать буду я и вполне по поводу. Пока выход только в > открытии порта из всей локальной сети. Директору открыть доступ для любых подключений во вне? > Если я на работающей сетке, поднятых интерфейсах и bind добавляю > правило, например на win.mail.ru:110 <http://win.mail.ru:110>, то оно > отрабатывается нормально и особых тормозов я не замечал (сетка маленькая > и это вообще не сильно критично а для оптимизации запросы на конкретный > нужный порт можно вынести в отдельную цепочку, где и проводить > проверки). Проблемы (вполне объяснимые) создают попытки использовать > правила такого вида в iptables-save. Почему win.mail.ru? А не pop.mail.ru и smtp.mail.ru? Они имеют по одному IP, врядли меняются. Это для использования почтовых клиентов. Если веб-почта, то достаточно http-проксирования. > С той же самой почтой, например, можно разрешить пользователям > пользоваться, только почтой с яндекса, mail.ru <http://mail.ru> и google > (исходящие на порты smtp, pop3, imap), а остальное закрыть в целях > борьбы с вирусами-спамерами. Но на один mail.yandex.ru > <http://mail.yandex.ru> может приходиться несколько ip, которые могут > измениться в любой момент. После какого-то критического порога подобных > правил, следить за актуальностью ip руками будет слишком обременительно. > И, как ни следи, а смену адреса всё равно прозеваешь и получишь простой. Использовать прокси, там и определять что можно. > Не падение линка, а ifdown, ifup (у меня сейчас на сервере периодически > повисает внешний интерфейс. Проблема скорее всего в мат. плате, уже > готовится другой сервер ему на замену, но пока суть да дело... Не > перезагружать же из-за этого весь сервер.). ipmp (для Солярки), для Linux попробовать bonding (вторую сетевую карточку), режим Active-backup. -- Anton Kvashin _______________________________________________ Sysadmins mailing list [email protected] https://lists.altlinux.org/mailman/listinfo/sysadmins
