Andreas Creative Commons License 2004.12.03 0 0 48
Sziasztok,
Lehet hogy a problémám nem tökéletesen illik, de mivel IPTABLES-szel szeretném megoldani, talán elfér itt.

Adott egy kis cég hálózata. A levelezést, proxy-t egy Windows 2003 Server viszi (SBS) egy belső és egy külső hálókártyával. A netet egy 128k-s bérelt vonalon érjük el. Nagy nehezen sikerült beköttetni egy 2Mbites kábeltv-s internetelérést, ami szépen müködik is. Ha nem lenne saját levelezőszerverünk, akkor itt vége is lenne a történetnek, átdugjuk a patch kábelt és kész. Csak hát van és most következik a domain név átregisztrálás, ami a két évvel ezelőtti tapasztalataink szerint eltart pár hétig. A Windows 2003 rendszergazdája azt akarja hogy várjuk meg amíg minden lezajlik, a DNS szervereken végigfut a változás és amikor lekapcsolják a bérelt vonalat átdugjuk a kábelt a kábelnetre. Én azon a véleményem vagyok hogy ha már itt a normális sebességü kapcsolat, akkor ne szenvedjünk tovább 30 klienssel egy 128k-s vonalon, keressünk valami megoldást.

Adott tehát két internetelérés, két fix IP címtartománnyal, a régin jönnek a levelek, a webezésre pedig gyors kapcsolatot kéne használni. A másik rendszergazda nem akar (nagyon) hozzányúlni a Windows-os szerverhez, két IP cím állítólag nem rendelhető egy hálókártyához Win alatt (meg routing problémák is lennének gondolom), szóval a szerveren kívűl kell megoldani a problémát. Nekem az az ötletem hogy odateszünk a külső hálókártyája elé egy Debian-os PC-t egy megfelelően bekonfigurált IPTABLES-szel, ami majd NAT-ol a winnek. A két CISCO router-t csatlakoztatjuk egy a belső hálózattól elkülönített switch-re, majd ide csatlakoztatjuk a két szervert is.

Innentől két megoldást tudok elképzelni:
1) A linux-ra felkerül egy SQUID ami a win felé parent proxy lesz. A SQUID-hez nem értek, tehát ezt csak végső esetben akarom.
2) A Windows 2003 routing táblájába felvesszük a linux-os szervert 1-es metrikával, a régi netkapcsolat router-ét pedig 2-essel.
IPTABLES-szel figyelem a csomagokat és ha kifelé irányuló POP3 vagy SMTP kommunikációt észlelek akkor visszaküldök egy ICMP host unreachable csomagot a win felé, ami elvileg ezután a 2-es metrikájú régi kapcsolaton próbálja a levelezést bonyolítani.

Szerintetek müködhet ez így?