policy based routing - problem (delsi)
Martin Calko
calko.martin na cpost.cz
Pátek Říjen 1 15:11:43 CEST 2004
Nasledujici situace:
inet inet
isp1 isp2
gw1 gw2
| |___________
\ /dmz | | |
\ / k l m
snat snat
wan1 wan2
212.80.x.x 62.240.x.x/29
--------
|router |
--------
(arp-proxy)
/ | \
lan1 lan2 lan3 ... lanX
Popis stavu:
Router je pripojeny do internetu pres dva providery. Na lokalni siti
jsou pouzity neverejne adresy z rozsahu 192.168.1.x - proto je na obou
vystupech snat [viz snat nize]. Spojeni do internetu bezi pres isp2, na
isp1 prepina spravce manualne v pripade problemu se spojenim na isp2.
Problem:
Pokusil jsem se nastavit spojeni pro nektere stanice stabilne pres isp1
nasledujicim postupem: vytvoril jsem routovaci tabulku s id=220, jmenem
'isp1' a zaznamem 'default via 212.80.x.x dev wan1'. Vytvoril jsem
pravidlo '220: from 192.168.1.7 lookup isp1 map-to 212.80.x.x'. Pres
isp2 vede vychozi smer v tabulce 'main'. Vsechny stanice krome
192.168.1.7 by tedy mely komunikovat pres isp2, 192.168.1.7 pres isp1.
Obe vetve by mely byt snat-ovany. Bohuzel stanice 192.168.1.7 muze
komunikovat pouze s routerem samotnym, nikam jinam (mineno do internetu)
se nedostane.
1)Zajima mne jestli je v me uvaze nekde chyba.
2)Zajima mne (pokud je to mozne na zaklade uvedenych udaju rici) proc
stanice 192.168.1.7 nemuze ven.
3)Jestli na (ne)fungovani ma vliv, ze je ne lokalni strane je arp-proxy.
4)Jak by musela vypadat pravidla pro nat aby stroje k,l a m mohly
komunikovat s vnitrni siti (momentalne je blokuje nat).
[snat]
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d ! 192.168.1.0/24 -j
SNAT --to-source 212.80.x.x
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -d ! 192.168.1.0/24 -j
SNAT --to-source 62.240.x.x
iptables -t nat -L
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
SNAT all -- 192.168.1.0/24 !192.168.1.0/24 to:62.240.x.x
SNAT all -- 192.168.1.0/24 !192.168.1.0/24 to:212.80.x.x
Diky
M.
Další informace o konferenci Linux