Укрощение двухголового змия

Andrey Matveev

Хакер, номер #092, стр. 092-110-1

(andrushock@real.xakep.ru)

Организация избыточного соединения с двумя интернет-провайдерами

По мнению подавляющего большинства психиатров, зависимость от сети - это не что иное, как новая болезнь, аналогичная пристрастиям к наркотикам или алкоголю. Здесь можно было бы поспорить со светилами науки, но ведь любой, даже кратковременный перебой с доступом в интернет мы воспринимаем как личную трагедию вселенского масштаба. О том, как лишний раз не оказаться в оффлайне, мы сегодня и поговорим.

2xISP: руководство к действию

Чтобы получить представление о работе того или иного поставщика услуг интернета, мы можем часами оценивать результаты мониторинга его надежности за разные годы, по крупицам собирать информацию из форумов и дотошно пытать своих знакомых. Но каковы бы ни были рейтинги, как бы благосклонны ни были отзывы пользователей - ни один из провайдеров не застрахован от (пусть даже кратковременных) сбоев, которые, по иронии судьбы и без легкого пара, происходят именно в тот момент, когда доступ в сеть крайне необходим.

Так что, полагаю, у каждого из нас рано или поздно возникала идея подключения к домашнему/институтскому/офисному серверу сразу двух интернет-каналов (основного и резервного) от разных провайдеров с возможностью автоматического поднятия резервного в случае падения основного.

Сделай правильный выбор

Трансляция сетевых адресов, перенаправление пакетов между сетевыми интерфейсами, фильтрация входящих и исходящих запросов... Можно еще очень долго перечислять функции, которые возложены на систему, обеспечивающую взаимодействие домашней/корпоративной локальной сети с всемирной паутиной. Не стоит также забывать, что сейчас, как никогда ранее, вопросы защиты клиентских компьютеров от несанкционированного доступа встают на передний план, затмевая собой практически все остальные.

Именно поэтому при поднятии шлюза важно остановить свой выбор на операционной системе, обладающей грамотной реализацией стека TCP/IP и мощным файрволом с гибким синтаксисом правил; системе, имеющую в своем составе подавляющее большинство сетевых служб, запускаемых в измененном корневом каталоге от имени непривилегированного пользователя (так называемые chroot окружения), что позволяет максимально снизить возможный ущерб при взломе.

Последняя версия непотопляемой OpenBSD (3.9 на момент написания статьи) как нельзя лучше подойдет для решения нашей задачи. Хотя в качестве используемой операционной системы может выступать любая из Free/Net/DragonFlyBSD.

Также нам понадобится компьютер с тремя сетевыми картами (я проводил тестирование на Pentium 100/64 Mb/1,2 Gb/3 сетевухи Intel EtherExpress PRO 100+), который будет отделять локальную сеть с внутренней адресацией (диапазоны 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8 согласно RFC1918) от двух «внешних» интернет-каналов.

Закладываем фундамент для нашей конструкции

В OpenBSD сетевые интерфейсы конфигурируются путем занесения в файл /etc/hostname.<имя_интерфейса> информации вида: «семейство_адресов IP-адрес маска_подсети широковещательный_адрес» (NONE означает автоматическое вычисление броадкаста на основе маски подсети). Имя интерфейса представляет собой название драйвера сетевой карты плюс порядковый номер.

Содержание  Вперед на стр. 092-110-2
ttfb: 3.2000541687012 ms