multiple uplinks

Petr Bartel bartel na irix.cz
Sobota Červen 28 12:47:17 CEST 2008


potom asi nechapu na co ten navod na LARTC je pouzitelny. 
moje predstava byla takova 

- pokud vypadne pripojeni na jedne brane nasmerovat veskery provoz do
  brany druhe (to minimalne http trafic), tedy outbound traffic
- load balancing ( chapu ze to jde jen s kazdym novym spojenim, vybrat
  vychozi branu ), taky outbound
- na to ADSL jsem chtel namerovat backup MX a v nem to vnitrim natem
  (port forwardingem) poslat na mailserver v DMZ, inbound
- na stroji bezi openvpn (idealne to udelat jako multihome, tudiz v
  pripade ze nepujde jedna brana pujde se rucne pripojit pres druhou,
  druhym konfigurakem) - neni nutne hlavne aby to slo aspon na tom
  jednom rozhrani, protoze ted to ma tendence posilat ty pakety pres obe
  venkovni a tudiz to nechodi, inbound
- nepretrzity pristup na web, bezi tam squid, tedy snad pouze vybrat
  jednu (funkcni) z bran - to byl zakladni pozadavek, outbound


pokud tedy nekdo muzete zhodnotit co z toho je realne a co ne, budu rad,
diky

Petr

-- 
**************************************************
* ICQ 74097173                  tel. 312 244 018 *
* Irix a.s.        Petr Bartel            servis *
*               Fingerprint klíče                *
8DB8 3AB2 6865 45F4 3E84  4980 CCED 20B1 CC6B B649
**************************************************

Sat, Jun 28, 2008 at 12:17:33PM CEST, yanek na ya.bofh.cz napsal(a):
> Petr Bartel wrote:
> > Ono ja v tom mam obecne dost chaos
> > 
> > takze myslite neco jako?
> > 
> > iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -j MARK --set-mark=5001
> > 
> > ip rule add fwmark 5001 table uplink1
> > 
> > iptables -t nat -A POSTROUTING -i ! $UPLINK1 -m mark --mark 5001 -j SNAT --to-source $UPLINK1_IP
> > 
> > no a nepodari se mi tim zaridit ze vsechny pakety z teto site vzdy
> > pujdou jen pres jedno rozhrani?
> 
> To asi ano. Snazit se o nejake rovnomerne rozkladani na uplne ruzne venkovni 
> IP adresy - to bych se asi neodvazil udelat. Za chvili na Vas prileti 
> uzivatele ze se jim odhlasujou ruzne webmaily a podobne.
> 
> > kdyz jsem na to koukal tim tcpdumpem (pred touhle upravu, protoze ted
> > pres den to musim nechat byt), mel jsem treba problem ze prisel paket
> > pres UPLINK1 pro mailserver v DMZ (eth1, verejna ip) a vracel se pres UPLINK2,
> > zrovna tak treba s openvpn. Mel jsem dojem ze tomu pomohlo 
> 
> Jeste me napada vyuzit connmarky, oznacit prichozi paket (a timpadem 
> spojeni) a pri ceste zpet ho jen prohodit spravnym interfacem.
> 
> > ip rule add to 10.8.8.0/24 table uplink1 (kde je brana na kterou se
> > klienti pripojuji, jenze to fungovalo nejak podivne)
> > 
> > kazdopadne diky za jakoukoli radu a i za snahu pomoci
> > 
> > Petr
> > 
> 
> 
> -- 
> Jan 'yanek' Bortl <yanek [at] ya.bofh. cz>
> http://ya.bofh.cz/ | jab: yanek [at] mitranet. cz
> -----------------------------------------------------------------
> "Maybe one day you will learn that your way is not the only way."
>                                          Opher [StarGate: The Nox]



Další informace o konferenci Linux