Эти материалы являются объектом авторского права и защищены законами РФ и международными соглашениями о защите авторских прав. Перед использованием материалов вы обязаны принять условия лицензионного договора на использование этих материалов, или же вы не имеете права использовать настоящие материалы

Вопрос: Имеет ли значение порядок расположения секций в конфигурационном файле ?

Вопрос: Можно ли использовать конфигуратор при динамическом назначении IP адреса сетевого интерфейса ?

Вопрос: Как в ТИКСЕР v.3 провести усечение таблиц базы MySQL с данными статистики ?

Вопрос: Как организовать обращение к компьютеру в локальной сети из Интернет через ТИКСЕР v.3 ?

Вопрос: Имеет ли значение порядок расположения секций в конфигурационном файле ?

Ответ: Нет и да. Независимо от порядка расположения конфигурационные секции обрабатываются конфигуратором в следующем порядке, по типу секции - секции безопасности, секции фильтрации, секции сетевой трансляции. Обрабатывая конфигурационные секции одного типа, конфигуратор принудительно сортирует их по номеру конфигурационной секции, указанной в ее заголовке в конфигурационном файле и далее последовательно обрабатывает их по порядку возрастания номера секции

Так как каждая секция описывает подсеть, с которой она работает, номера секций и, следовательно, порядок обработки - очень важны. Например обработка секции, отвечающей за взаимодействие с глобальной подсетью (маска подсеи 0.0.0.0) как первой секции приведет к тому, что трафик будет обработан детализирующими правилами этой секции, не разрёшенный этими правилами трафик будет отклонен, так и не войдя в другие секции сетевого фильтра

Поэтому нужно внимательно продумывать конфигурацию - это обратная сторона большой гибкости конфигуратора. В любом случае процедуру конфигурирования лучше поручить специалисту. Так, например, при поставке типовых серверных решений на основе системы КоСиКУЛС БЕССТ ввод сервера в эксплуатацию у заказчика должен проводить квалифицированный специалист компании - поставщика

Вопрос: Можно ли использовать конфигуратор при динамическом назначении IP адреса сетевого интерфейса ?

Ответ: Да, это один из заложенных в ПО вариантов использования. Для корректной работы в этом случае нужно указать в соответствующей конфигурационной секции, что тип интерфейса - динамический, а его адрес - 0.0.0.0/0.0.0.0 (именно с маской подсети). В этом случае тип трафика будет определяться по имени сетевого интерфейса и подсети взаимодействия, но не по IP адресу интерфейса

Вопрос: Как в ТИКСЕР v.3 провести усечение таблиц базы MySQL с данными статистики ?

Ответ: Эта типовая процедура, для неё разработана инструкция

Вопрос: Как организовать обращение к компьютеру в локальной сети из Интернет через ТИКСЕР v.3 ?

Ответ: Такая задача решается, но нужно понимать, что описываемое ниже решение - это "костыль", который не только сильно урезан по функционалу, но и является скорее обходным манёвром, чем использованием штатной функциональности. В ТИКСЕР v.3 и стартовой версии ТИКСЕР v.4 компонента "конфигурирования сетевого фильтра и сбора статистики о проходящем IP трафике" не имеет встроенной функциональности, позволяющей сконфигурировать сетевую трансляцию по получателю (DNAT), поэтому приходится конфигурировать сетевой фильтр напрямую. Подсчёт статистики также не ведётся, и пробрасываемый трафик может стать причиной существенного отличия счётчиков объёма трафика, отражаемого системой, и реальных величин. Всё это нужно четко понимать перед началом организации такого проброса. Таким образом это "НЕ РЕКОМЕНДУЕМОЕ" решение

Время от времени необходимость в организации DNAT трансляции у пользователей ТИКСЕР v.3-v.4 появляется, так что в планах уже стоит реализация данной функциональности как штатной. До выхода же релиза можно использовать описываемый ниже "костыль" - но на свой страх и риск, и будучи готовым к описанным выше нестыковкам по статистике

Итак, для организации DNAT трансляции можно подготовить небольшой скрипт примерно такого содержания:

#!/bin/bash
/sbin/iptables -t nat -A PREROUTING -p tcp -d внешний_IP --destination-port внешний_порт -j DNAT --to-destination локальный_IP:локальный_порт
/sbin/iptables -t filter -A FORWARD -p tcp -d локальный_IP --destination-port локальный_порт -j ACCEPT
/sbin/iptables -t filter -A FORWARD -p tcp -s локальный_IP --source-port локальный_порт -j ACCEPT

Этот скрипт необходимо запускать после отработки штатного модуля конфигуратора сетевого фильтра ТИКСЕР v.3-v.4. Для чего может потребоваться такой "костыль" ? Например, для удалённого администрирования компьютеров филиала, как простая реализация доступа к ресурсам локальной сети удалённым пользователям (в этих случаях необходимо пробрасывать только протоколы со встроенной шифрацией обмена), для публикования размещённых за сетевым фильтром сервисов (например - организуется доступность выделенного WWW сервера через сетевой фильтр и систему статистики коммуникационного сервера) и т.п.