https://www.opennet.ru/openforum/vsluhforumID1/93067.html Здравствуйте.<br>Помогите, пожалуйста, разобраться. Есть два аплинка к одному провайдеру. Необходимо пропорционально поделить между ними трафик. Т.е. балансировку нагрузки. При этом соединения по определенным портам всегда должно идти через тот интерфейс, с которого были установлены. Теряюсь в догадках как такое можно провернуть...<br><br>Раньше, при одном аплинке, я пользовал связку iptables+bind+squid+netams. Вот рабочие правила для старой конфигурации:<br><br><br>#!/bin/bash<br><br>/sbin/modprobe ip_queue<br>/sbin/modprobe ip_nat_ftp<br>/sbin/modprobe nf_conntrack_ftp<br><br>IPT="/sbin/iptables"<br>INET="eth0"<br>LAN="eth1"<br>NETWORK="192.168.0.0/24"<br>SQUID="3128"<br>WWW="80,81,8080"<br><br><br>$IPT -P INPUT DROP<br>$IPT -P FORWARD DROP<br>$IPT -P OUTPUT DROP<br><br>$IPT -N INPUT_LAN<br>$IPT -N INPUT_INET<br><br>#================SQUID==================<br><br>$IPT -t nat -A PREROUTING -s $NETWORK ! -d $NETWORK -p tcp -m multiport --dport $WWW -j REDIRECT --to-ports $SQUID<br>$IPT -A OUTPUT -o $LAN -p tcp -m tcp --sport $SQUID -m state --state NEW,RELATED,ESTABLI https://www.opennet.ru/openforum/vsluhforumID1/93067.html#11 Wed, 22 Feb 2012 10:08:22 GMT &gt;&gt;&gt; отдельное соединение - да. Сессия соединений - нет.<br>&gt;&gt; Т.е. сессию никак не отследить? Плин, "половину сюда, половину туда" тоже не <br>&gt;&gt; прикольно. Высокая вероятность что второй канал будет просто простаивать, когда первый <br>&gt;&gt; будет забит под завязку. А нет ли какого-нибудь решения для маркировки <br>&gt;&gt; пакетов по адресу назначения например?<br>&gt; есть вообще суровая штука, называется "статистика". Я пока не понял, на основании <br>&gt; чего делается вывод, что "Высокая вероятность что второй канал будет просто <br>&gt; простаивать, когда первый будет забит под завязку", и что помешает на <br>&gt; основании этих же оснований сделать так, чтобы так не было (т.е. <br>&gt; по другому перегруппировать пользователей).<br><br>Статистика тут не пройдет. Я могу поделить пропорционально пользователей по каналам, они сожрут оба. Сегодня. А завтра полконторы умотает в командировку - поехали перераспределять. Вернулись эти, уехали другие - снова перераспределять. Хотелось бы как-то не зависеть от того, сколько народу и из каких сетей у меня в https://www.opennet.ru/openforum/vsluhforumID1/93067.html#10 Wed, 22 Feb 2012 08:44:04 GMT &gt;&gt; отдельное соединение - да. Сессия соединений - нет.<br>&gt;&gt; Могу скопировать оба предыдущих ответа в это сообщение, чтобы они были _еще <br>&gt;&gt; раз_ перечитаны.<br>&gt; Как же в таких условиях живут бедные провайдеры? Неужели жестко прописывают маршруты <br>&gt; для каждого абонента?<br><br>как живут бедные - я достоверно не знаю. В прописывании маршрутов для абонентов ничего крамольного не вижу.<br><br>Богатые - берут каналы нормально, не в виде серых адресов, а в виде белых сеток, подымают BGP и развлекаются уже с ним. Т.е. сетка маршрутизируется по обеим каналам, конечно же не идеально ровно 50/50. Ну там начинаются и другие приколы, типа асимметрий и т п.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/93067.html#9 Wed, 22 Feb 2012 08:40:52 GMT &gt;&gt; отдельное соединение - да. Сессия соединений - нет.<br>&gt; Т.е. сессию никак не отследить? Плин, "половину сюда, половину туда" тоже не <br>&gt; прикольно. Высокая вероятность что второй канал будет просто простаивать, когда первый <br>&gt; будет забит под завязку. А нет ли какого-нибудь решения для маркировки <br>&gt; пакетов по адресу назначения например?<br><br>есть вообще суровая штука, называется "статистика". Я пока не понял, на основании чего делается вывод, что "Высокая вероятность что второй канал будет просто простаивать, когда первый будет забит под завязку", и что помешает на основании этих же оснований сделать так, чтобы так не было (т.е. по другому перегруппировать пользователей).<br> https://www.opennet.ru/openforum/vsluhforumID1/93067.html#8 Wed, 22 Feb 2012 08:38:44 GMT &gt;&gt; отдельное соединение - да. Сессия соединений - нет.<br>&gt; Т.е. сессию никак не отследить? Плин, "половину сюда, половину туда" тоже не <br>&gt; прикольно. Высокая вероятность что второй канал будет просто простаивать, когда первый <br>&gt; будет забит под завязку. А нет ли какого-нибудь решения для маркировки <br>&gt; пакетов по адресу назначения например?<br><br>ну вот смотри. Допустим, ты извратишься и сделаешь наоборот, по адресу назначения определяя канал, через который пойдет пакет от пользователя.<br><br>допустим, для этого мы возьмем третий октет айпи адреса и проверим его на четность.<br>т.е. <br><br>x.y.1.z пойдет по нечетному каналу, а k.l.2.m пойдет по четному каналу.<br><br>Твой несчастный пользователь пойдет на сервис а-ля рапидшара, где ему для скачивания сформируют персональную ссылку, содержащую его айпи адрес (ну, чтобы ссылки не тиражировали и не публиковали в интернете). Сформировали ссылку, сделали редирект _на другой сервер_. А он бац - и в другой сети - CDN, панимаешь. А ты его раз - и по другому каналу отправил... <br> https://www.opennet.ru/openforum/vsluhforumID1/93067.html#7 Wed, 22 Feb 2012 06:32:51 GMT &gt; отдельное соединение - да. Сессия соединений - нет.<br><br>Т.е. сессию никак не отследить? Плин, "половину сюда, половину туда" тоже не прикольно. Высокая вероятность что второй канал будет просто простаивать, когда первый будет забит под завязку. А нет ли какого-нибудь решения для маркировки пакетов по адресу назначения например?<br><br> https://www.opennet.ru/openforum/vsluhforumID1/93067.html#6 Wed, 22 Feb 2012 06:29:01 GMT &gt; отдельное соединение - да. Сессия соединений - нет.<br>&gt; Могу скопировать оба предыдущих ответа в это сообщение, чтобы они были _еще <br>&gt; раз_ перечитаны.<br><br>Как же в таких условиях живут бедные провайдеры? Неужели жестко прописывают маршруты для каждого абонента?<br><br>&gt; почитайте ман iptables на тему MASQUERADE, потом расскажите, чем отличаются SNAT и <br>&gt; MASQUERADE. Я лично не вижу технической разницы в действиях SNAT и <br>&gt; MASQUERADE на фиксированных адресах.<br><br>скорость обработки, если я правильно помню. snat быстрее. А так - ничем.<br> https://www.opennet.ru/openforum/vsluhforumID1/93067.html#5 Wed, 22 Feb 2012 05:36:12 GMT &gt;[оверквотинг удален]<br>&gt; eth1 - 192.168.1.101 <br>&gt; eth2 - 192.168.1.102 <br>&gt; адрес шлюза на обоих 192.168.1.100. При таком раскладе разве я не смогу <br>&gt; поделить трафик?<br>&gt; - указываю маршрут по умолчанию на любой внешний интерфейс, <br>&gt; - создаю две таблицы с маркировками типа ip rule add fwmark 1 <br>&gt; table 101 /-/-/ 102 <br>&gt; - при new маркирую пакет, при established копирую маркер на всю цепочку... <br>&gt; по идее установленное соединение должно будет пойти через тот интерфейс, через который <br>&gt; было установлено.<br><br>отдельное соединение - да. Сессия соединений - нет. <br>Могу скопировать оба предыдущих ответа в это сообщение, чтобы они были _еще раз_ перечитаны.<br><br><br>&gt; Если не использовать маскарадинг а делать -j SNAT на <br>&gt; серый адрес... или нет?<br><br>почитайте ман iptables на тему MASQUERADE, потом расскажите, чем отличаются SNAT и MASQUERADE. Я лично не вижу технической разницы в действиях SNAT и MASQUERADE на фиксированных адресах.<br> https://www.opennet.ru/openforum/vsluhforumID1/93067.html#4 Tue, 21 Feb 2012 19:30:17 GMT &gt; Перечитай заново ответ выше.<br><br>Спасибо за ссылку. Многое стало понятнее. Многое, но не все. <br><br>Вот берем реальную ситуацию:<br><br>eth0 - 192.168.0.0/24 внутренняя сеть<br><br>пров дает постоянные серые адреса, т.е. к примеру<br>eth1 - 192.168.1.101<br>eth2 - 192.168.1.102<br>адрес шлюза на обоих 192.168.1.100. При таком раскладе разве я не смогу поделить трафик?<br>- указываю маршрут по умолчанию на любой внешний интерфейс,<br>- создаю две таблицы с маркировками типа ip rule add fwmark 1 table 101 /-/-/ 102<br>- при new маркирую пакет, при established копирую маркер на всю цепочку...<br><br>по идее установленное соединение должно будет пойти через тот интерфейс, через который было установлено. Если не использовать маскарадинг а делать -j SNAT на серый адрес... или нет?<br> https://www.opennet.ru/openforum/vsluhforumID1/93067.html#3 Tue, 21 Feb 2012 14:04:52 GMT &gt;&gt;А это значит - что на сайт пользователь придет с двух разных IP.<br>&gt; Вот потому и спрашиваю. Я так понял что iptables что iproute2 работают <br>&gt; с пакетами.<br><br>iptables умеет взаимодействовать с CONNTRACK, соответственно работать с соединениями.<br>посредством привязки маркера (MARK) к соединению, а впоследствии с помощью копирования маркера соединения в маркер пакета - можно добиться "работы iproute" с соединениями.<br><br>&gt; А нет ли какой плюшки, которая позволяет работать именно <br>&gt; с соединениями? Или может есть уже какое готовое решение для балансировки <br>&gt; нагрузки, которое вменяемо настраивается?<br><br>Но, я про соединения и говорю, что одно пойдет туда, другое сюда, и пользователь обломается.<br><br>Т.е. уровни: (1) пакеты -&gt; (2) соединения -&gt; (3) сессии - есть еще более высокий уровень.<br><br>Перечитай заново ответ выше.<br><br>&gt;&gt;Рекомендую побалансировать "половину пользователей туда, половину сюда".<br>&gt; Сойдет в том смысле, что не руками балансировать "этих сюда, а вот <br>&gt; этих сюда", а в зависимости от загрузки канала