Эти материалы являются объектом авторского права и защищены законами РФ и международными соглашениями о защите авторских прав. Перед использованием материалов вы обязаны принять условия лицензионного договора на использование этих материалов, или же вы не имеете права использовать настоящие материалы

Авторская площадка "Наши орбиты" состоит из ряда тематических подразделов, являющихся моими лабораторными дневниками, содержащими записи за разное, иногда продолжительно отличающееся, время. Эти материалы призваны рассказать о прошедшем опыте, они никого ни к чему не призывают и совершенно не обязательно могут быть применимы кем-то ещё. Это только лишь истории о прошлом

Вопрос: Имеет ли значение порядок расположения секций в конфигурационном файле ?

Вопрос: Можно ли использовать конфигуратор при динамическом назначении IP адреса сетевого интерфейса ?

Вопрос: Как в ТИКСЕР v.3 провести усечение таблиц базы MySQL с данными статистики ?

Вопрос: Как организовать обращение к компьютеру в локальной сети из Интернет через ТИКСЕР v.3 ?

Вопрос: Имеет ли значение порядок расположения секций в конфигурационном файле ?

Ответ: Нет и да. Независимо от порядка расположения конфигурационные секции обрабатываются конфигуратором в следующем порядке, по типу секции - секции безопасности, секции фильтрации, секции сетевой трансляции. Обрабатывая конфигурационные секции одного типа, конфигуратор принудительно сортирует их по номеру конфигурационной секции, указанной в ее заголовке в конфигурационном файле и далее последовательно обрабатывает их по порядку возрастания номера секции

Так как каждая секция описывает подсеть, с которой она работает, номера секций и, следовательно, порядок обработки - очень важны. Например обработка секции, отвечающей за взаимодействие с глобальной подсетью (маска подсеи 0.0.0.0) как первой секции приведет к тому, что трафик будет обработан детализирующими правилами этой секции, не разрёшенный этими правилами трафик будет отклонен, так и не войдя в другие секции сетевого фильтра

Поэтому нужно внимательно продумывать конфигурацию - это обратная сторона большой гибкости конфигуратора. В любом случае процедуру конфигурирования лучше поручить специалисту. Так, например, при поставке типовых серверных решений на основе системы КоСиКУЛС БЕССТ ввод сервера в эксплуатацию у заказчика должен проводить квалифицированный специалист компании - поставщика

Вопрос: Можно ли использовать конфигуратор при динамическом назначении IP адреса сетевого интерфейса ?

Ответ: Да, это один из заложенных в ПО вариантов использования. Для корректной работы в этом случае нужно указать в соответствующей конфигурационной секции, что тип интерфейса - динамический, а его адрес - 0.0.0.0/0.0.0.0 (именно с маской подсети). В этом случае тип трафика будет определяться по имени сетевого интерфейса и подсети взаимодействия, но не по IP адресу интерфейса

Вопрос: Как в ТИКСЕР v.3 провести усечение таблиц базы MySQL с данными статистики ?

Ответ: Эта типовая процедура, для неё разработана инструкция

Вопрос: Как организовать обращение к компьютеру в локальной сети из Интернет через ТИКСЕР v.3 ?

Ответ: Такая задача решается, но нужно понимать, что описываемое ниже решение - это "костыль", который не только сильно урезан по функционалу, но и является скорее обходным манёвром, чем использованием штатной функциональности. В ТИКСЕР v.3 и стартовой версии ТИКСЕР v.4 компонента "конфигурирования сетевого фильтра и сбора статистики о проходящем IP трафике" не имеет встроенной функциональности, позволяющей сконфигурировать сетевую трансляцию по получателю (DNAT), поэтому приходится конфигурировать сетевой фильтр напрямую. Подсчёт статистики также не ведётся, и пробрасываемый трафик может стать причиной существенного отличия счётчиков объёма трафика, отражаемого системой, и реальных величин. Всё это нужно четко понимать перед началом организации такого проброса. Таким образом это "НЕ РЕКОМЕНДУЕМОЕ" решение

Время от времени необходимость в организации DNAT трансляции у пользователей ТИКСЕР v.3-v.4 появляется, так что в планах уже стоит реализация данной функциональности как штатной. До выхода же релиза можно использовать описываемый ниже "костыль" - но на свой страх и риск, и будучи готовым к описанным выше нестыковкам по статистике

Итак, для организации DNAT трансляции можно подготовить небольшой скрипт примерно такого содержания:

#!/bin/bash
/sbin/iptables -t nat -A PREROUTING -p tcp -d внешний_IP --destination-port внешний_порт -j DNAT --to-destination локальный_IP:локальный_порт
/sbin/iptables -t filter -A FORWARD -p tcp -d локальный_IP --destination-port локальный_порт -j ACCEPT
/sbin/iptables -t filter -A FORWARD -p tcp -s локальный_IP --source-port локальный_порт -j ACCEPT

Этот скрипт необходимо запускать после отработки штатного модуля конфигуратора сетевого фильтра ТИКСЕР v.3-v.4. Для чего может потребоваться такой "костыль" ? Например, для удалённого администрирования компьютеров филиала, как простая реализация доступа к ресурсам локальной сети удалённым пользователям (в этих случаях необходимо пробрасывать только протоколы со встроенной шифрацией обмена), для публикования размещённых за сетевым фильтром сервисов (например - организуется доступность выделенного WWW сервера через сетевой фильтр и систему статистики коммуникационного сервера) и т.п.