Добавлено: 07 янв 2008, 03:48
Андрей Тр. aka RH писал(а):Ну хорошо, в этой сети сравнительно немного хостов со статическими адресами - я думаю, наберется штук 40-50. Среди них, конечно, есть и серверы - менять адреса серверов без острой на то необходимости мне совсем неохота. А если в сети сотни или больше таких устройств .. значит, установка фаервола всегда влечет подобные последствия ?
Как бы это сказать покультурней... - установка файрвола никогда не должна повлечь за собой подобных последствий по одной причине - он всегда ставится в первую очередь Я к примеру с трудом могу представить ситуацию, когда в сеть, в которой есть сервера, провайдеру дается полный доступ, а наличие у вас с провайдером единого сетевого пространства именно об этом и говорит - тут и своим-то пользователям доверять нельзя, а уж посторонней организации... (параноидальный синдром - профессиональное заболевание сетевых администраторов ).
Андрей Тр. aka RH писал(а):Плюс в этом случае сервер с фаерволом становится single point of failure. При теперешнем варианте, когда на нем крутится всего лишь прокси, в случае чего клиентов временно можно перевести на прокси провайдера ( что не представляет труда ), или поднять сквид на каком-то другом сервере. Если же я, по сути, превращаю сервер в роутер, то без него выхода наружу уже просто не будет.
Встречный вопрос - а канал от второго провайдера у Вас заведен? Если нет, то провайдер тоже в свою очередь является single point of failure - тут уж ничего не поделаешь, если доступ в инет для Вас так критичен, то либо ставите рядом второй сервер, на который можно будет перебросить линки в случае проблем с первым сервером, либо как тут уже говорили, покупаете в качестве роутера железку - или Cisco ASA или 28xx, в случае выхода из строя (что для цисок довольно редкое явление) переписать настройки на аналогичное устройство дело 5-и минут.
Андрей Тр. aka RH писал(а):Есть ещё вот такой CD - IP Filters for Linux and NetWare - a straight forward approach - но платить $125 пока что жаба давит.
По-моему не имеет смысла - они просят деньги за то, что и так можно найти в инете, к примеру на том же opennet.ru