multiple uplinks
Petr Bartel
bartel na irix.cz
Sobota Červen 28 12:47:17 CEST 2008
potom asi nechapu na co ten navod na LARTC je pouzitelny.
moje predstava byla takova
- pokud vypadne pripojeni na jedne brane nasmerovat veskery provoz do
brany druhe (to minimalne http trafic), tedy outbound traffic
- load balancing ( chapu ze to jde jen s kazdym novym spojenim, vybrat
vychozi branu ), taky outbound
- na to ADSL jsem chtel namerovat backup MX a v nem to vnitrim natem
(port forwardingem) poslat na mailserver v DMZ, inbound
- na stroji bezi openvpn (idealne to udelat jako multihome, tudiz v
pripade ze nepujde jedna brana pujde se rucne pripojit pres druhou,
druhym konfigurakem) - neni nutne hlavne aby to slo aspon na tom
jednom rozhrani, protoze ted to ma tendence posilat ty pakety pres obe
venkovni a tudiz to nechodi, inbound
- nepretrzity pristup na web, bezi tam squid, tedy snad pouze vybrat
jednu (funkcni) z bran - to byl zakladni pozadavek, outbound
pokud tedy nekdo muzete zhodnotit co z toho je realne a co ne, budu rad,
diky
Petr
--
**************************************************
* ICQ 74097173 tel. 312 244 018 *
* Irix a.s. Petr Bartel servis *
* Fingerprint klíče *
8DB8 3AB2 6865 45F4 3E84 4980 CCED 20B1 CC6B B649
**************************************************
Sat, Jun 28, 2008 at 12:17:33PM CEST, yanek na ya.bofh.cz napsal(a):
> Petr Bartel wrote:
> > Ono ja v tom mam obecne dost chaos
> >
> > takze myslite neco jako?
> >
> > iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -j MARK --set-mark=5001
> >
> > ip rule add fwmark 5001 table uplink1
> >
> > iptables -t nat -A POSTROUTING -i ! $UPLINK1 -m mark --mark 5001 -j SNAT --to-source $UPLINK1_IP
> >
> > no a nepodari se mi tim zaridit ze vsechny pakety z teto site vzdy
> > pujdou jen pres jedno rozhrani?
>
> To asi ano. Snazit se o nejake rovnomerne rozkladani na uplne ruzne venkovni
> IP adresy - to bych se asi neodvazil udelat. Za chvili na Vas prileti
> uzivatele ze se jim odhlasujou ruzne webmaily a podobne.
>
> > kdyz jsem na to koukal tim tcpdumpem (pred touhle upravu, protoze ted
> > pres den to musim nechat byt), mel jsem treba problem ze prisel paket
> > pres UPLINK1 pro mailserver v DMZ (eth1, verejna ip) a vracel se pres UPLINK2,
> > zrovna tak treba s openvpn. Mel jsem dojem ze tomu pomohlo
>
> Jeste me napada vyuzit connmarky, oznacit prichozi paket (a timpadem
> spojeni) a pri ceste zpet ho jen prohodit spravnym interfacem.
>
> > ip rule add to 10.8.8.0/24 table uplink1 (kde je brana na kterou se
> > klienti pripojuji, jenze to fungovalo nejak podivne)
> >
> > kazdopadne diky za jakoukoli radu a i za snahu pomoci
> >
> > Petr
> >
>
>
> --
> Jan 'yanek' Bortl <yanek [at] ya.bofh. cz>
> http://ya.bofh.cz/ | jab: yanek [at] mitranet. cz
> -----------------------------------------------------------------
> "Maybe one day you will learn that your way is not the only way."
> Opher [StarGate: The Nox]
Další informace o konferenci Linux