multiple uplinks

Petr Bartel bartel na irix.cz
Sobota Červen 28 11:49:49 CEST 2008 

Ono ja v tom mam obecne dost chaos

takze myslite neco jako?

iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -j MARK --set-mark=5001

ip rule add fwmark 5001 table uplink1

iptables -t nat -A POSTROUTING -i ! $UPLINK1 -m mark --mark 5001 -j SNAT --to-source $UPLINK1_IP

no a nepodari se mi tim zaridit ze vsechny pakety z teto site vzdy
pujdou jen pres jedno rozhrani?

kdyz jsem na to koukal tim tcpdumpem (pred touhle upravu, protoze ted
pres den to musim nechat byt), mel jsem treba problem ze prisel paket
pres UPLINK1 pro mailserver v DMZ (eth1, verejna ip) a vracel se pres UPLINK2,
zrovna tak treba s openvpn. Mel jsem dojem ze tomu pomohlo 

ip rule add to 10.8.8.0/24 table uplink1 (kde je brana na kterou se
klienti pripojuji, jenze to fungovalo nejak podivne)

kazdopadne diky za jakoukoli radu a i za snahu pomoci

Petr

-- 
**************************************************
* ICQ 74097173                  tel. 312 244 018 *
* Irix a.s.        Petr Bartel            servis *
*               Fingerprint klíče                *
8DB8 3AB2 6865 45F4 3E84  4980 CCED 20B1 CC6B B649
**************************************************

Sat, Jun 28, 2008 at 11:29:07AM CEST, yanek na ya.bofh.cz napsal(a):
> Petr Bartel wrote:
> > Hlavne mi prijde ze se paket nevraci pres stejne rozhrani kudy prisel.
> > (nebo kudy by mel) Musi napr. openvpn mit svuj vlastni SNAT pokud
> > klienti maji pouze jednu z tech verejnych adres? Zkousel jsem to 
> > sledovat tcpdumpem. Chapu ze se opakuji, ale vazne by mi
> > nejake popostrceni pomohlo. 
> 
> V tom Vasem scriptu mi chybi jedna podstatna vec. Snazite se zmenit tok 
> paketu na zaklade toho za jaky nat se strci, je tak? Musite totiz v 
> PREROUTINGU (ted PRED routovanim) kernelu sdelit ze uz tento paket pujde 
> jinudy (ip rule). V POSTROUTING uz je docela pozde.
> 
> Idealni bude kdyz si je v PREROUTINGU omarkujete podle potreby, ip rule je 
> vam na zaklade toho (fwmark) prehodi na jinou tabulku, a POSTROUTING na 
> zaklade tehoz marku provede SNAT.
> 
> Dale obcas zabira prikaz 'ip route flush cache' na samotnem konci (minule 
> jsem to ovsem nekomu radil a tomuto nepomohlo - pred lety to bylo potreba).
> 
> Pokud mluvim z cesty tak se omlouvam, po ranu mi to moc nemysli :-)
> 
> > 
> > predem dekuji
> > 
> > S pozdravem
> >     Petr Bartel
> 
> 
> -- 
> Jan 'yanek' Bortl <yanek [at] ya.bofh. cz>
> http://ya.bofh.cz/ | jab: yanek [at] mitranet. cz
> -----------------------------------------------------------------
> "Maybe one day you will learn that your way is not the only way."
>                                          Opher [StarGate: The Nox]

Další informace o konferenci Linux