|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Dmitrij Lystsov 2:5020/400 24 Nov 2005 10:23:10
To : Rick Atreides
Subject : Re: ...не могу решить простую задачу!!!
--------------------------------------------------------------------------------
занимательный ответ ... спасибо!
>> (немного повторюсь ...)
>> Hа первый взгляд задача достаточно тривиальна, но ...
>>
>> Есть ОДИH сервер с ДУМЯ сетевухами, сидящий в РАЗHЫХ сетях.
>> ОБЕ сети имеют выход в инет, но с разными шлюзами:
>> Для ПЕРВОЙ сети ПЕРВЫЙ шлюз, для ВТОРОЙ сети - ВТОРОЙ шлюз.
>> Задача разрулить трафик САМОГО СЕРВЕРА исходя из АДРЕСА источника.
>> Источники - службы на СЕРВАКЕ запущенные под разными адресами.
>
> Со входящими запросами всё достаточно просто.
это точно.
> ipfw fwd ip-gw1 from ip1 to any
> Однако насчёт наличия default route - у меня есть сомнения что будет
> работать без него. Сейчас объясню почему
>
> У тебя firewall.
> fwd gate0 ip from ip0 to any via interface0
> fwd gate1 ip from ip1 to any via interface1
>
> обмен траффиком от www.ru с ip0 и ip1
> так вот, если у тебя маршрут на www.ru идёт через iface0, то второе
> правило не сработает, а сработает
> fwd gate1 ip from ip1 to any via interface0
> И именно по этому, при отсутсвии default route у тебя может сначала
> выдаться Destination Host Unreachable, прежде чем сработает fwd (хотя я
> не уверен)
Совершенно верно.
> У меня настроено (в похожей ситуации) так
> есть default route iface0
... имеется ввиду через <iface0>
> ipfw fwd gw1 from ip1 to any out xmit iface0
> ipfw allow from ip2 to any out xmit iface0
>
> ip2 - висит на iface0, ip1 - на другом интерфейсе.
Это получается что ip1 сидит на iface1, а пакеты от имени адреса ip1
идут через iface0?
> При исходящих соединениях немного хужее. Именно из-за того-же рутинга.
> Если сервис жёстко ставит себе src ip тот, который ему сказали, то всё
> будет ок,
я стараюсь именно так делать - каждая служба это свой адрес.
> но у меня был отрицательный опыт с поднятием ipsec туннеля.
> ip на интерфейсе через который идёт default route ip1. А мне нужно было
> поднять ipsec с ip2. И несмотря на то, что raccon получал ключом в
> коммандной строке bind to ip2, исходящие соединения по обмену ключами
> шли от ip1.
> Такая-же хрень может проявиться и в другом софте.
Я все-таки думаю, что должно быть два правила для каждого исходящего адреса:
1. Для своей сети - не перекидывать пакеты
2. Для адресов не принадлежащих этой сети - перекидывать на шлюз.
Hо тоды другой вопрос - сети то две (ip0 и ip1)!
Если применить два правила, то получиться чтобы попасть в сеть, которая
сидит на другом интерфейсе, надо сделать скачек через шлюз.
ip1-int1 --> gate1 ---> ip0-int0
Hо это бред, наверное.
Если адрес своей сети - пакеты должны примеком выйти через интерфейс
который сидит в этой сети.
Hо правило в IPFW все одно для этого надо прописывать - иначе кто им
разрешит выйти.
--
Отправлено через сервер Форумы@mail.ru - http://talk.mail.ru
--- ifmail v.2.15dev5.3
* Origin: Talk.Mail.Ru (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
