У Orange есть пара хостов (в основном используемых в качестве веб-сервера).
У GREEN есть несколько рабочих станций (около 10) и NAS (также используемый как репозиторий GIT).
У RED есть ДВА, в настоящее время асимметричных) оптоволоконных модема:
Быстрый (1000 Мбит/с) с динамическим общедоступным IP-адресом (недоступен из Интернета).
Медленный (200 Мбит/с) со статическим общедоступным IP-адресом (подключен к моему домену)
В настоящее время я использую «медленный» для всего своего трафика, но мне хотелось бы немного «оптимизировать».
В общем, я думаю, мне следует настроить все так, чтобы соединения, исходящие из ЗЕЛЕНОГО (и, возможно, также ОРАНЖЕВОГО) проходили через быстрый режим, в то время как соединения, исходящие из Интернета (предположительно, в медленном режиме, но это может измениться), должны были возвращаться по «правильному маршруту». (то есть: откуда бы они ни пришли). Входящие соединения в настоящее время могут идти по адресу:
сервер на ORANGE (80 и 443 минимум)
NAS горит зеленым (доступ к GIT через защищенное соединение SSH через нестандартный порт).
Мне интересно перенести всю обработку обратного прокси-сервера/виртуального сервера на IPFire (в настоящее время все данные http[s]:// отправляются на один сервер в ORANGE и обрабатываются там).
Я немного озадачен тем, как настроить этого зверя (и я не уверен, что это вообще имеет смысл), поскольку я не настоящий эксперт по сетям, даже несмотря на то, что я вмешиваюсь в эти дела уже много времени.
Нужна настройка DUAL-WAN. В дистрибутиве Linux это должно быть возможно в IPFire, однако он не поддерживается «из коробки» и требует большой работы с вашей стороны.
Вам необходимо создать второй красный интерфейс, отредактировав файл /var/ipfire/ethernet/settings.
Дальше самое сложное — манипулировать таблицей маршрутизации, что делается в /etc/sysconfig/rc.localили firewall.local. Вам потребуется добавить необходимые записи маршрутизации, чтобы гарантировать, что правильный шлюз используется для правильного исходящего интерфейса. Это сложная область, и может потребоваться глубокое понимание механизма маршрутизации Linux. Затем вам может потребоваться создать правила брандмауэра для управления трафиком для двух разных интерфейсов WAN. Наконец, если вы хотите, чтобы каждый интерфейс WAN использовал отдельный DNS-сервер, вам может потребоваться изменить настройки DNS.
Имейте в виду, что если разработчик IPFire не вмешается и не прояснит, как обстоят дела на самом деле, это всего лишь предположение, и оно может быть совершенно ошибочным.
РЕДАКТИРОВАТЬ: я попросил GPT4 показать мне пример того, как будут выглядеть манипуляции с маршрутизацией в rc.local.
Это результат модели:
#!/bin/sh # # This script will be executed *after* all the other init scripts. # You can put your own initialization stuff in here.
# Define gateways for red0 and red1 interfaces GW_RED0="192.0.2.1" GW_RED1="203.0.113.1"
# Define table IDs TID_RED0="100" TID_RED1="101"
# Define marks MARK_RED0="1" MARK_RED1="2"
# Flush existing rules ip route flush table $TID_RED0 ip route flush table $TID_RED1
ip rule del fwmark $MARK_RED0 table $TID_RED0 ip rule del fwmark $MARK_RED1 table $TID_RED1
# Create routing tables for red0 and red1 ip route add default via $GW_RED0 dev red0 table $TID_RED0 ip route add default via $GW_RED1 dev red1 table $TID_RED1
# Add rule to use specific table for marked packets ip rule add fwmark $MARK_RED0 table $TID_RED0 ip rule add fwmark $MARK_RED1 table $TID_RED1
Лично я бы не стал пробовать это в производстве и не стал бы полагаться на модель GPT, пока она не будет тщательно проверена.