|
ru.linux
- RU.LINUX ---------------------------------------------------------------------
From : Vyacheslav Osokin 2:5020/400 07 Oct 2004 14:05:23
To : Aleksey Barabanov
Subject : Re: iptables + NAT
--------------------------------------------------------------------------------
Aleksey Barabanov wrote:
> Vyacheslav Osokin wrote:
>
>> А какие еще варианты есть. Более подробно: есть два канала, периодически
>> нужно переключать с одного на другой в разное время суток ну или по
>> другим причинам, неважно. После того как производится переключение
>> установившиеся сессии идут без натинга напрямую. Запретить их я тоже не
>> могу из-за особых
> Есть такой кернельный импрувинг ebtables. Эта штука добавляет хуки на линк
> лайер, что позволяет включить фильтрацию пакетов, прошедших сетевой
> построутинг.
Это, конечно, интересно, не спорю. Ибо решить проблему с помощью фильтрации
пакетов после POSTROUTING было бы здорово, хотя это уже фактически обходной
маневр, покольку ползовательские соединения зависнут в этом случае и их
придется перезапускать по новой. Hо это мне придется полностью переходить
на ebtables, а это значит надо менять и патчить ядро (2.4.18 у меня) и т.д.
:( Если ничего не придумаю больше, то это только, наверно, и остается :(
>> тех. условий, но и позволить им работать без натинга тоже нельзя.
>
> Hадо оставить оба ната и рулить роутингом. Он, роутинг, именно для этого и
> предназначен, чтобы менять маршрут.
Во-первых как можно сделать два правила натинга с одинаковыми условиями,
чтобы каждое работало, когда надо? Hапример
iptables -t nta -s 192.168.0.0/24 -d 0.0.0.0/0 -o eth1 -j SNAT 1.1.1.1
iptables -t nta -s 192.168.0.0/24 -d 0.0.0.0/0 -o eth1 -j SNAT 2.2.2.2
Даже если будут разные сетевые интерфейсы и правила будут разные - это не
поможет - проверено. Те пакеты, которые были занатчены ранее, даже после
смены маршрута, продолжают натится под тем же SNAT, что и раньше, хотя уже
идут по другому пути и на самом деле не удовлетворяют этим правилам в
цепочке.
Во-вторых маршрут как раз меняется каждый раз. Сначала default на 1.1.1.1,
потом на 2.2.2.2, потом обратно.
ЗЫ: Вобщем очень не хватает возможности сбрасывать таблицу соединений
принудительно. Как-то неправильно это. По логике разработчиков получается я
должен перезагружать все модули nat и conntrack в ядре или перегружать
целиком маршрутизатор только для того чтобы все соединения гарантированно
работали по новым правилам SNAT.
--
Best regards
Vyacheslav Osokin
Parma Inform Ltd
--- ifmail v.2.15dev5.3
* Origin: Parma Inform Ltd (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
