URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 14822
[ Назад ]
Исходное сообщение
"злопамятный nat ?"
Отправлено Ольсен , 08-Ноя-07 15:50 
Здравствуйте.
Итак задача:
- Есть провайдер А - дёшево и сердито, серый ип (основной)
- Провайдер Б - дорого, белый ип (резерв)
- Машина, которую нужно сделать переключалкой (Мандрива Linux - за мандриву не пинать, работаем с тем что есть)

Ограничения:
- Ип провайдера Б - всегда должен работать (через него прокидываются внутренние сервера для доступа админа из тутуева - меня :) )
- максимально минимизировать трафик через прова Б.
(на прова Б переключаемся только в случае падения прова А, обратно как только пров А встанет на место +- - пров А падает не часто, но бывает, и если падает, то это надолго:) )

Действия:
- для каждого из провайдеров пишутся свои правила для iptables с соответствующим натом.
= при переключении :
: cat rules_prov_на_которого_переключаемся | iptables-restore
: ip ro del default
: ip ro add default шлюз_прова_на_которого_переключаемся
(всё в скрипте с соответствующими проверками)

ГРАБЛИ :

- После переключении с прова Б на прова А - входящие данные с хостов соединения с которыми были открыты во время работы через прова Б (входящие)- так и идут через прова Б, исходящие уже через прова А (эдакая асимметричная линия спутникового инета =) ); при этом новые соединения открываются через прова А и данные и туда и сюда идут через прова А.

Домыслы: - насколько я обкурился манов - проблемма в /proc/net/ip_conntrack

Вопрос - Верны ли мои домыслы, и если да - то можно-ли её безболезненно сбросить, желательно только данные о соединениях иницированными натом (чтобы сидя по ссш - меня не вышвыривало), и как это сделать...
Буду благодарен за прямои ответ за ссылку или за направление копания...
А то, чегото не получается правильно спросить у гугля на эту тему.

Содержание
Сообщения в этом обсуждении
"злопамятный nat ?"
Отправлено Ольсен , 08-Ноя-07 17:57 
>Домыслы: - насколько я обкурился манов - проблемма в /proc/net/ip_conntrack

Нашел таки - conntract-tools
Домашняя страница - http://netfilter.org/projects/conntrack-tools/index.html

Единственное неудобство судя по ману - conntrack -F - выносит нафик всю таблицу трассировщика - вышвырнет с шелла :)
(зы для мандривы есть рпм пакет : urpmi conntrack)

"злопамятный nat ?"
Отправлено all , 08-Ноя-07 19:05 
>>Домыслы: - насколько я обкурился манов - проблемма в /proc/net/ip_conntrack
>
>Нашел таки - conntract-tools
>Домашняя страница - http://netfilter.org/projects/conntrack-tools/index.html
>
>Единственное неудобство судя по ману - conntrack -F - выносит нафик всю
>таблицу трассировщика - вышвырнет с шелла :)
>(зы для мандривы есть рпм пакет : urpmi conntrack)

ip ro f c не поможет?

"злопамятный nat ?"
Отправлено Ольсен , 09-Ноя-07 01:39 
ip route flush cache ? - не, она кэш маршрутов очищает, а таблицу трассировщика не трогает, пробовал.
"злопамятный nat ?"
Отправлено Ольсен , 12-Ноя-07 13:59 
Итак - одно из решений проблеммы - пакет conntrack-tool (на данный момент правда бета, но работает).
Наблюдение - хоть команда conntrack  -F и сбрасывает всю таблицу conntrack - на соединения к данному хосту это никак не влияет (речь про ссш, видимо что-то я в манах неправильно курил, и conntrack никак не связана с такими соединениями...) - с задачей же очистки нат сессий справляется на 5.