Logo Море(!) аналитической информации!
IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware
Архив форумов ЦИТФорума
Море(!) вопросов - Море(!) ответов
 
 FAQFAQ   ПоискПоиск   ПользователиПользователи   ГруппыГруппы   РегистрацияРегистрация 
 ПрофильПрофиль   Войти и проверить личные сообщенияВойти и проверить личные сообщения   ВходВход 
Как правильно задавать вопросы

Как выставить данные наружу?

 
Перейти:  
Этот форум закрыт, вы не можете писать новые сообщения и редактировать старые.   Эта тема закрыта, вы не можете писать ответы и редактировать сообщения.    Список форумов Архив форумов ЦИТФорума -> Unix
Предыдущая тема :: Следующая тема  
Автор Сообщение
Dmitry_Karpov



Зарегистрирован: 23.02.2006
Сообщения: 212
Откуда: Москва, Матвеевское

СообщениеДобавлено: Вс Мар 26 2006 00:12    Заголовок сообщения: Как выставить данные наружу? Ответить с цитатой

Есть локальная сеть с "серыми" IP-номерами 192.168.*.* и выходом наружу через FreeBSD, на котором работает Apache. Есть юзеры, работающие под Windows.

Некоторые юзеры хотят выставить наружу свою информацию, причём объём этой информации м.б. непомерно велик, так что на сервере не хватит дискового пространства. Есть варианты:
  • Выдать "внешние" IP-номера юзерским машинам и наладить роутинг. Очевидно, что такой вариант крайне нежелателен.
  • Поднять на юзерских машинах Apache и использовать Proxy для проброса запросов внутрь.
  • Рас'share'ть папки с выставляемыми наружу данными, смонтировать их (ro) на FreeBSD по smbfs и выставить наружу через Apache.
Хотелось бы услышать мнение товарищей, которые решали подобные задачи, о возможных "граблях" с работоспособностью и безопасностью на каждом из путей или рекомендации ещё какого-нибудь способа. В частности, надо учитывать, что поддержание работоспособности софта на юзерских машинах - это лишний геморрой; а есть ещё проблемы в том, что юзерская машина м.б. выключена - как известно, FreeBSD очень не любит когда смонтированный раздел недоступен.

PS: С возмущением обнаружил, что если прописать в /etc/fstab монтирование smbfs-системы при загрузке, стартовые скрипты пытаются сделать это до активизации сетевых интерфейчов - соотвественно, система переходит в single-user mode. Собственно, отсюда мой интерес к amd.
_________________
Хочу в Хогвардс преподавателем информатики.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
and3008



Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород

СообщениеДобавлено: Вс Мар 26 2006 18:48    Заголовок сообщения: Ответить с цитатой

OpenVPN по моему очень ничего себе впишется в эту задачу.

FreeBSD будет сервером. И в соответствии с политикой пускает избранных внутрь сети. И не абы куда, а только куда надо. Разруливается это все довольно просто.

Недостаток один - на внешнем клиенте надо ставить софт.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Dmitry_Karpov



Зарегистрирован: 23.02.2006
Сообщения: 212
Откуда: Москва, Матвеевское

СообщениеДобавлено: Вс Мар 26 2006 23:59    Заголовок сообщения: Ответить с цитатой

and3008 писал(а):
OpenVPN по моему очень ничего себе впишется в эту задачу.

А чем тут поможет VPN? Кто с кем должен соединяться по VPN, если тут три участника - "FreeBSD", "внутренняя Windows с выставляемыми наружу данными" и "клиент, жеающий получить эти данные, с неизвестной операционкой"?

Цитата:
FreeBSD будет сервером. И в соответствии с политикой пускает избранных внутрь сети. И не абы куда, а только куда надо. Разруливается это все довольно просто.

Ну, это решается правилами ipfw, ipf или pf; никакой VPN тут не нужен.
_________________
Хочу в Хогвардс преподавателем информатики.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
fLamer



Зарегистрирован: 05.04.2004
Сообщения: 462
Откуда: Тула

СообщениеДобавлено: Пн Мар 27 2006 05:54    Заголовок сообщения: Ответить с цитатой

Так как технические варианты ты сам знаешь, то вопрос тут скорее в политике фирмы, надо выбирать по ситуации.
Ещё один момент,
От кого исходит инициатива расшаривать данные и кому это нужно?
Если это связано с работой фирмы, то предлагаю ещё варианты:
1. поставить перед начальством вопрос о дополнительном дисковом пространстве на шлюзе.
2. купить внутрисетевой файлсервер и мапить внешний инет на него.
Это если внешние пользователи анонимные и разные и vpn для каждого организовать невозможно.
А если сервисом пользуются всего 5 человек своих сотрудников - тогда VPN.
А сколько внешних клиентов?
А данные секретные, шифрование требуется?
А сколько внутренних машин с сервисами?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail Посетить сайт автора
!Axel2



Зарегистрирован: 27.03.2006
Сообщения: 4

СообщениеДобавлено: Пн Мар 27 2006 13:07    Заголовок сообщения: Ответить с цитатой

Yeah, you are right man! Sad
_________________
God bless America!
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
Dmitry_Karpov



Зарегистрирован: 23.02.2006
Сообщения: 212
Откуда: Москва, Матвеевское

СообщениеДобавлено: Пн Мар 27 2006 13:24    Заголовок сообщения: Ответить с цитатой

fLamer писал(а):
От кого исходит инициатива расшаривать данные и кому это нужно?

Это НИИ, где кафедры практически автономны. Инициатива исходит от тех людей, на чьих машина лежат данные.

Цитата:
купить внутрисетевой файлсервер и мапить внешний инет на него.

Проще уж поставить диски на шлюз и организовать там же файловый сервер для несекретных данных.

Цитата:
А сколько внешних клиентов?

Весь Internet. Smile

Цитата:
А данные секретные, шифрование требуется?

Нет, это публичные данные.
_________________
Хочу в Хогвардс преподавателем информатики.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
C37



Зарегистрирован: 09.03.2005
Сообщения: 311

СообщениеДобавлено: Пн Мар 27 2006 15:46    Заголовок сообщения: Ответить с цитатой

И проще, и логичнее, и безопаснее организовать файловый сервер на шлюзе (или "рядом" - в зависимости от организации сети), и дать возможность тем, кому надо, помещать туда свои данные самостоятельно.
Реэскпорт данных с внутренних машин через шлюз, на мой взгляд, создает совершенно лишнюю нагрузку на внутреннюю сеть.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Valera



Зарегистрирован: 26.12.2003
Сообщения: 133

СообщениеДобавлено: Ср Мар 29 2006 12:00    Заголовок сообщения: Ответить с цитатой

Поднять НАТ на FreeBSD и мапить порты на внутренние адреса.
Внутри можно поднять несколько вэбсерверов.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Dmitry_Karpov



Зарегистрирован: 23.02.2006
Сообщения: 212
Откуда: Москва, Матвеевское

СообщениеДобавлено: Ср Мар 29 2006 12:03    Заголовок сообщения: Ответить с цитатой

Valera писал(а):
Поднять НАТ на FreeBSD и мапить порты на внутренние адреса.

Зачем NAT, если можно выдать машинам внешние адресА, а лишне закрыть через ipfw?
_________________
Хочу в Хогвардс преподавателем информатики.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
sedfom



Зарегистрирован: 04.11.2002
Сообщения: 309
Откуда: Moscow

СообщениеДобавлено: Ср Мар 29 2006 14:28    Заголовок сообщения: Ответить с цитатой

Насколько продвинуты пользователи (сами они можут поднять и настроить Apache)?
Кто будет все это настраивать и поддерживать?


Если бы эту задачу решал я:

Поднимается сервер и дисковым массивом достатотчным для всех данных умножить на 3. На нем поднимается FTP. Юзерам раздаются аккаунты на доступ к FTP. IP на сервер я бы поставил серый и настроил маппинг на Фре. У такого решения на мой взляд меньше всего граблей, меньше генороя и поддержкой, ну и меньше самой работы Smile

Не хватит одного сервера можно поднять несколько, тогда лучше раздавать реальные IP.

Примечание:

ХР - не серверная ОС.
_________________
Каков вопрос, таков ответ.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail
fLamer



Зарегистрирован: 05.04.2004
Сообщения: 462
Откуда: Тула

СообщениеДобавлено: Пт Мар 31 2006 06:33    Заголовок сообщения: Ответить с цитатой

если каждый сам посебе, да ещё НИИ, типа умными себя считают во всех науках, нельзя мапить снаружи в сеть и делать этот процесс стихийным, надо брать это в свои руки, организовывать заранее определённый механизм расшаривания, ответственных людей! Делать всё централизованно! Что это за гигабайты информации из НИИ?! Это кому это "всем в интернете" нужны гигабайты из НИИ?! Это бред! Это произвол, выделить место на шлюзе каждому, и не гигабайты, а под нужную информацию, я думаю что всётки кто-то за это отвечает и решает оправданные расходы или капризы пользователей.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail Посетить сайт автора
Dmitry_Karpov



Зарегистрирован: 23.02.2006
Сообщения: 212
Откуда: Москва, Матвеевское

СообщениеДобавлено: Пт Мар 31 2006 15:31    Заголовок сообщения: Ответить с цитатой

fLamer писал(а):
нельзя мапить снаружи в сеть и делать этот процесс стихийным

А кто сказал про стихийность? Доступ извне даётся только к специально назначенным машинам только по определённым портам.

Цитата:
Что это за гигабайты информации из НИИ?!

Например, фотографии биологических объектов или свежеснятых географических карт - когоче, графика высокого разрешения в JPEG.
_________________
Хочу в Хогвардс преподавателем информатики.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
fLamer



Зарегистрирован: 05.04.2004
Сообщения: 462
Откуда: Тула

СообщениеДобавлено: Вс Апр 02 2006 07:50    Заголовок сообщения: Ответить с цитатой

Я думаю что пользовательская машина не сервер, и если уж действительно надо, то выделить сервер хотя бы внутри сети и сделать его доступным снаружи. Сервер в твоих руках и за ним следить проще. Централизовано надо сделать. А на сервер пусть заливают данные свои. А сколько машин внутри сети нуждается в расшаривании данных? И через какую службу расшаривать? http? ftp? как распределять один порт внутри сети по разным машинам?
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Отправить e-mail Посетить сайт автора
Dmitry_Karpov



Зарегистрирован: 23.02.2006
Сообщения: 212
Откуда: Москва, Матвеевское

СообщениеДобавлено: Пн Апр 03 2006 22:51    Заголовок сообщения: Ответить с цитатой

[QUOTE=fLamer]как распределять один порт внутри сети по разным машинам?[/QUOTE]
Есть куча способов; собственно, они все исползуются для создания вирт.хостов:
  • IP-based (нужно несколько внехних IP-номеров);
  • Port-based (каждый сайт на собственном порту; используется очень редко);
  • Name-based (один IP-номер, порт:80, сайты различаются по именам).
Первые два варианта можно сделать средствами NAT или HTTP-Proxy, а третий - только средствами HTTP-Proxy.
_________________
Хочу в Хогвардс преподавателем информатики.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
MiK



Зарегистрирован: 03.04.2002
Сообщения: 333
Откуда: пос. Ново-%буново

СообщениеДобавлено: Вс Апр 16 2006 02:21    Заголовок сообщения: Ответить с цитатой

Да, задача необычная хотя цель понятна. Мне понравился этот вариант
Dmitry_Karpov писал(а):

Рас'share'ть папки с выставляемыми наружу данными, смонтировать их (ro) на FreeBSD по smbfs и выставить наружу через Apache.


Dmitry_Karpov писал(а):
PS: С возмущением обнаружил, что если прописать в /etc/fstab монтирование smbfs-системы при загрузке, стартовые скрипты пытаются сделать это до активизации сетевых интерфейчов

Решается маунтом по крону. Опять же можно и перезапускать по крону, все зависит от того как ведет себя фряха с примаунченными но отключенными дисками
Есть неплохое решение и у Microsoft http://www.ci.ru/inform18_01/p17micros.htm:) или, естественно, на родном сайте. Удачи.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
C37



Зарегистрирован: 09.03.2005
Сообщения: 311

СообщениеДобавлено: Вс Апр 16 2006 14:05    Заголовок сообщения: Ответить с цитатой

Хоть убейте, не вижу смысла выставлять наружу данные с участием внутренних машин пользователей. Организация файлового сервера (ftp, http...) на шлюзе, в DMZ или "рядом" имеет несколько очевидных преимуществ:
1. данные доступны постоянно, а не только тогда, когда их владелец уже пришел на работу и включил компьютер;
2. владельцы данных помещают их в открытый доступ более сознательно, чем если бы они просто открывали доступ к некоторой папке на своей машине;
3. данные передаются по внутренней сети только один раз при их размещении на сервере, а не при каждом обращении к ним
4. исключается обращение к незащищенным внутренним машинам извне, пусть даже и опосредованное.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
MiK



Зарегистрирован: 03.04.2002
Сообщения: 333
Откуда: пос. Ново-%буново

СообщениеДобавлено: Вт Апр 18 2006 12:05    Заголовок сообщения: Ответить с цитатой

Сам Дмитрий похоже решил проблему или "остыл" уже.
C37 писал(а):
Хоть убейте, не вижу смысла выставлять наружу данные с участием внутренних машин пользователей

Придется убитьSmile Вот простой пример. Есть 30 пользовательских хостов, на каждом по 40Gb информации, которую надо "опубликовать". Простым умножением можно посчитать какого объема нужен файл-сервер. А если информации еще больше? В то время как дисковое пространство пользователей будет простаивать. Не каждая организация может позволить себе такие бездумные траты. Для этого и существуют хорошие админы, которые ищут способы решения.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Dmitry_Karpov



Зарегистрирован: 23.02.2006
Сообщения: 212
Откуда: Москва, Матвеевское

СообщениеДобавлено: Вт Апр 18 2006 13:01    Заголовок сообщения: Ответить с цитатой

MiK писал(а):
Вот простой пример. Есть 30 пользовательских хостов, на каждом по 40Gb информации, которую надо "опубликовать". Простым умножением можно посчитать какого объема нужен файл-сервер. А если информации еще больше? В то время как дисковое пространство пользователей будет простаивать.

Это всё из-за писюкового обыкновения ставить на каждую машину большие диски. В идеале нужны бездисковые раб.станции с зашитой в ПЗУ операционкой, весь софт и все данны на сервере, у сервера куча сетевых карт для ускорения раздачи данных одновременно обращающимся клиентам.
_________________
Хочу в Хогвардс преподавателем информатики.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение Посетить сайт автора
C37



Зарегистрирован: 09.03.2005
Сообщения: 311

СообщениеДобавлено: Чт Апр 20 2006 14:13    Заголовок сообщения: Ответить с цитатой

MiK писал(а):
Есть 30 пользовательских хостов, на каждом по 40Gb информации, которую надо "опубликовать". Простым умножением можно посчитать какого объема нужен файл-сервер. А если информации еще больше? В то время как дисковое пространство пользователей будет простаивать. Не каждая организация может позволить себе такие бездумные траты. Для этого и существуют хорошие админы, которые ищут способы решения.


Это не пример. Это бардак. 40Gb x 30 хостов = 1200Gb
Берем 6 дисков x 200gb = 4 диска x 300Gb = 3 диска x 400 Gb = ок. 22000 руб. (можно дешевле)
еще нужен контроллер IDE/SATA (1 или 2 шт., в зависимости от объема дисков) = до 15000 руб.
итого все укладывается в 40000 руб., что вполне приемлемо, если действительно нужно столько данных выложить наружу.

А диски пользователей должны ими же и использоваться. "расшарить папочку" можно для соседа или отдела, для того и придумано. Но ставить в зависимость доступность данных организации от включенности и исправности пользовательской машины - не дело.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
and3008



Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород

СообщениеДобавлено: Чт Апр 20 2006 15:08    Заголовок сообщения: Ответить с цитатой

Mik наверно ничего не слышал о системах HP EVA или EMC ClariOn или Hitachi Thunder.

А так же о ПО виртуализации. На таких железках может совершенно успешно сосуществовать СУБД Oracle и файлопомойка с неограниченным кол-вом гигабайт.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
MiK



Зарегистрирован: 03.04.2002
Сообщения: 333
Откуда: пос. Ново-%буново

СообщениеДобавлено: Пн Апр 24 2006 09:53    Заголовок сообщения: Ответить с цитатой

Smile and3008 наверно не понял сути задачи, но это ничего - бывает.
Вернуться к началу
Посмотреть профиль Отправить личное сообщение
Показать сообщения:   
Этот форум закрыт, вы не можете писать новые сообщения и редактировать старые.   Эта тема закрыта, вы не можете писать ответы и редактировать сообщения.    Список форумов Архив форумов ЦИТФорума -> Unix Часовой пояс: GMT + 3
Страница 1 из 1

 
Перейти:  
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах


Powered by phpBB © 2001, 2002 phpBB Group
Русская поддержка phpBB

 

IT-консалтинг Software Engineering Программирование СУБД Безопасность Internet Сети Операционные системы Hardware

Информация для рекламодателей PR-акции, размещение рекламы — adv@citforum.ru,
тел. +7 495 6608306, ICQ 232284597
Пресс-релизы — pr@citforum.ru
Послать комментарий
Информация для авторов
This Web server launched on February 24, 1997
Copyright © 1997-2000 CIT, © 2001-2006 CIT Forum
Внимание! Любой из материалов, опубликованных на этом сервере, не может быть воспроизведен в какой бы то ни было форме и какими бы то ни было средствами без письменного разрешения владельцев авторских прав. Подробнее...