пробовал, безрезультатно , сниффером вижу, что коннект с внешки приходит , но обратно - глухо
вот такая сейчас маршрутизация на внутреннем вэб сервере 10.0.1.1
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 10.0.1.2 0.0.0.0 UG 0 0 0 tun1
0.0.0.0 192.168.0.50 0.0.0.0 UG 0 0 0 eth0
10.0.1.0 0.0.0.0 255.255.255.252 U 0 0 0 tun1
192.168.0.0 0.0.0.0 255.255.255.192 U 0 0 0 eth0
Добавлю, хотелось бы не привязываться к конкретной машине и операционке (в рамках семейства windows), чтобы при необходимости можно было без установки дополнительного софта и драйверов запустить приложение в сандбоксе.
В таком случае трафик будет заходить на виндовую машину, а этого бы не хотелось. Просто он там очень дорогой и фильтрация на самом винсервере не будет иметь ни какого толку. Поэтому нужен все же отдельный фильтрующий сервер.
Пока рабочий вариант ipip, также попытаюсь в тесте сделать с haproxy.
Может у кого какие еще светлые идеи по поводу топика, буду очень признателен за них.
И за толковый мануал, как это сделать на ipip, также буду благодарен.
На фронтэнде вы хотели сказать. Ну, если рассматривать задачу для простоты понимания, отбросив все хотелки. Допустим Win2008 машинка достаточно чувствительна ко входящему трафику и лишним нагрузкам. Вот хочется перед ней поставить какой-то фильтр с шаровым трафиком и нагрузками, который бы взял на себя основной удар, например отсеять по гео, количеству соединений, прочий мусорный трафик… чтобы на выходе получить чистый поток. Также тут дополнительный + с точки зрения безопасности. Ни кто не знает реального адреса фронтэнда. А айпишники нужны, для статистик, логов…
Честно, не приходилось сталкиваться с этой задачей. Как-то пользовались сторонними услугами антиддоса, у нас был клиентский скрипт который поднимал ipip тоннель на фронтэнде, а внешний ип был антиддоса. Все ip адеса при фильтрации оставались.
Как я понимаю, мне нужно и копать в сторону ipip.
Нет, машины удалены по ДЦ, не виртуалки. Фронтэнд точно выделенный сервер (win 2008), тоннель — linux vps. Задача — базовая очистка трафика (возможно ограничения по коннектам, ipset списки… ), в целом стандартные задачи для iptables.По сути не важно что будет происходить с трафиком на фильтре. Важно чтобы пакет пришел на ип фильтра 1.1.1.1. и прозрачно транслировался на фронтэнд 2.2.2.2 (пройдя по цепочке iptables). При чем не фрондэнд ни клиент (условно) не должны догадываться о наличии фильтра. Для них он должен быть абсолютно прозрачным.
Не всегда. Просто если не задан xid, $id будет равна нолю, что не всегда приемлемо. Проверка на существование переменной нужна, но в том контексте как приведено в оригинале, существует опасность того, что подсунут инъекцию.
По сути, удобства сильно не добавляет, киндл также масштабирует до появления горизонтальных скролов, а оригинальный шрифт получается мелковат. Читать конечно можно, но глаза устают и книжку держать приходится ближе.
Ну в какой-то мере да, но это совсем иная технология. После того как я настроил Domain Keys на своих почтовиках, проблемы с а гмейлом исчезли. Хотя у вас может быть и банальная блокировка самого сервера или текста. Для эксперимента попробуйте отослать тот же текст, через какой-то «православный» серевр. Да через тот же gmail.