|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Dmitrij Lystsov 2:5020/400 28 Nov 2005 11:01:27
To : Rick Atreides
Subject : Re: ...не могу решить простую задачу!!!
--------------------------------------------------------------------------------
>> Есть ОДИH сервер с ДУМЯ сетевухами, сидящий в РАЗHЫХ сетях.
>> ОБЕ сети имеют выход в инет, но с разными шлюзами:
>> Для ПЕРВОЙ сети ПЕРВЫЙ шлюз, для ВТОРОЙ сети - ВТОРОЙ шлюз.
>> Задача разрулить трафик САМОГО СЕРВЕРА исходя из АДРЕСА источника.
>> Источники - службы на СЕРВАКЕ запущенные под разными адресами.
>
> Со входящими запросами всё достаточно просто.
> ipfw fwd ip-gw1 from ip1 to any
> Однако насчёт наличия default route - у меня есть сомнения что будет
> работать без него. Сейчас объясню почему
>
> У тебя firewall.
> fwd gate0 ip from ip0 to any via interface0
> fwd gate1 ip from ip1 to any via interface1
>
> обмен траффиком от www.ru с ip0 и ip1
> так вот, если у тебя маршрут на www.ru идёт через iface0, то второе
> правило не сработает, а сработает
> fwd gate1 ip from ip1 to any via interface0
Я тут немного поэксперементировал ...
Если делаю, типа:
ping -S ip1 www.ru
то незамедлительно получаю:
ping: sendto: Permission denied
ping: sendto: Permission denied
ping: sendto: Permission denied
ping: sendto: Permission denied
Гляжу в лог, а там:
Deny ICMP:8.0 ip1 www.ru out via int0
А какого хрена, я думаю, запрос лезет от имени ip1 с интерфейса int0 -
должен то с int1 идти и прямиком на gate1.
Что за ерунда.
Так мои правила ни когда не применятся.
Вот к примеру сейчас для ICMP запросов они такие:
allow log icmp from not net1 to ip1 in via int1 icmptypes 0,3,8,13,14,30
fwd gate1 log icmp from ip1 to not net1 out via int1
Подскажите как побороть это безобразие?
> У меня настроено (в похожей ситуации) так
> есть default route iface0
> ipfw fwd gw1 from ip1 to any out xmit iface0
> ipfw allow from ip2 to any out xmit iface0
>
> ip2 - висит на iface0, ip1 - на другом интерфейсе.
Если так, то получиться что нагрузка на iface0 возрастает, а iface1
работает только на входящие запросы.
--
Отправлено через сервер Форумы@mail.ru - http://talk.mail.ru
--- ifmail v.2.15dev5.3
* Origin: Talk.Mail.Ru (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
