forum.opennet.ru - "Трабла с src routing" (8)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Трабла с src routing"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Трабла с src routing"
Сообщение от Bonyk on 05-Апр-04, 12:02 (MSK)
Не получатеся зарулить отдельных пользователей на второй канал. Имею два канала, хочется чтобы некоторые пользователи ходили инет через второй линк. Для этого создал отдельную таблицу маршрутизации. Потом пишу: ip rule add from 192.168.0.122 table users ip route add default via xx.xx.xx.xx dev eth1 table users ip route flush cache Нат реализован через iptables iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source xx.xx.xx.xx Ничего не работает, юзер продолжает качать через первый канал. Есть ли разница в нате через iptable и через ip rule add from 192.168.0.0/24 nat xx.xx.xx.xx Третий день уже бьюсь, прочитал доку с lartc.org, все делал по мануалке, не работает
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

Трабла с src routing, Bony, 13:26 , 05-Апр-04, (1)
- Трабла с src routing, miker, 16:50 , 05-Апр-04, (2)
  - Трабла с src routing, Bony, 17:37 , 05-Апр-04, (3)
Трабла с src routing, ovax, 03:36 , 06-Апр-04, (4)
- Трабла с src routing, Bonyk, 17:41 , 06-Апр-04, (5)
  - Трабла с src routing, nrvalex, 15:22 , 07-Апр-04, (6)
    - Трабла с src routing, Bonyk, 12:43 , 08-Апр-04, (7)
      - Трабла с src routing, ovax, 09:23 , 12-Апр-04, (8)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Трабла с src routing"

Сообщение от Bony on 05-Апр-04, 13:26  (MSK)

Неужели никто не сталкивался с такой проблемой ?

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Трабла с src routing"

Сообщение от miker on 05-Апр-04, 16:50  (MSK)

>Неужели никто не сталкивался с такой проблемой ?
С проблемой не сталкивался, на работе не юзаю, так что тока рекомендация.
Убей default в основной таблице, посмотри куда что пойдёт. Когда я устанавливал - у меня никаких проблем не возникло. Кстати таблицу добавил хоть users ...
Кстати номерочки не забывайте номерочки ...
Насчёт разницы через iptables/ip думаю нет ... не встречал в настройках ядра отдельно под iptables и отдельно под ip =).

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Трабла с src routing"

Сообщение от Bony on 05-Апр-04, 17:37  (MSK)

Таблицу users добавил конечно, а вот на счет того чтобы убрать default route с основной таблицы так это нада протестить, хотя по команде ip rule show видно что приоритеты таблиц идут в следующем порядке: local, main, default. Соответсвенно если я добавляю новую таблицу то у нее приоритет идет сразу после таблицы local, но все может быть .... нада попробовать
И еще вопрос, на какой внешний ип натить сетку, ведь их два, так как линка тоже два, ведь если натить на первый то пакет вышедший через второй линк будет иметь source address первого линка, что не есть гуд (мне провайдер уже жаловался что от меня идут пакеты с левым source addr.

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Трабла с src routing"

Сообщение от ovax (??) on 06-Апр-04, 03:36  (MSK)

>
Конечно не работает.
Ведь ты натом всех заварачиваешь насильно на один исходящий адрес.
Тебе надо сделать примерно следующее :
iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source xx.xx.xx.xx
iptables -t nat -A POSTROUTING -o eth2 -j SNAT --to-source yy.yy.yy.yy
где eth1 и eth2 твои внешние интерфейсы с адресами xx.xx.xx.xx и yy.yy.yy.yy

Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Трабла с src routing"

Сообщение от Bonyk on 06-Апр-04, 17:41  (MSK)

Уточняю ситуацию, имеется сервер с 3 сетевыми картами, одна смотрит в локалку, две остальные в инет. Локал интерфейс имеет ип 10.1.1.254/24, ип интерфейса смотрящего на первого прова xx.xx.xx.xx, ип второго интерфейса смотрящего на второго прова yy.yy.yy.yy. Изеры имеют ип из диапазона 10.1.1.1/24 - 10.1.1.200/24. На серваке поднят VPN (pptpd). При конекте юзера ему выдается динамический ип из диапазона 192.168.0.0/24. Со стороны сервера соединение точка-точка имеет ип 192.168.0.1 . Также поднят прозрачный squid. Апитаблесом заворачиваю пакеты которые ломятся на 80, 8080  и тд http порты на порт 3128. Когда был один канал все просто пакет от юзера пришел на гейт если это http то он подхватывается squid'ой , если это что то другое то все  идет напрямую (сетка 192.168.0.0/24 натится на внешний ип xx.xx.xx.xx). Теперь нада разрулить юзеров по разным каналам. Для начала создал добился того (с помощью iproute2) что пакет который приходит с первого линк и уходил назад по этому же линку. Далее создал таблицу users и начинаю разруливать юзеров
Добавляю туда дефолт роут через второй линк
ip route add default via yy.yy.yy.yy dev eth1 table users
ip rule add from 192.168.0.101 table users
ip route flush cache
И тут кирдык. iptraf показывает что юзер послал запрос, а вот назад юзеру ничего не идет. Где грабли. Пробовал удалять дефолт роут в таблице main не помогает. Нат сделал как советовал ovax. Уже затрахался. Знаю что решение лежит гдето не поверхности, может ктото пнет мне пальцем на грабельки ?

Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Трабла с src routing"

Сообщение от nrvalex on 07-Апр-04, 15:22  (MSK)

>Уточняю ситуацию, имеется сервер с 3 сетевыми картами, одна смотрит в локалку,
>две остальные в инет. Локал интерфейс имеет ип 10.1.1.254/24, ип интерфейса
>смотрящего на первого прова xx.xx.xx.xx, ип второго интерфейса смотрящего на второго
>прова yy.yy.yy.yy. Изеры имеют ип из диапазона 10.1.1.1/24 - 10.1.1.200/24. На
>серваке поднят VPN (pptpd). При конекте юзера ему выдается динамический ип
>из диапазона 192.168.0.0/24. Со стороны сервера соединение точка-точка имеет ип 192.168.0.1
>. Также поднят прозрачный squid. Апитаблесом заворачиваю пакеты которые ломятся на
>80, 8080  и тд http порты на порт 3128. Когда
>был один канал все просто пакет от юзера пришел на гейт
>если это http то он подхватывается squid'ой , если это что
>то другое то все  идет напрямую (сетка 192.168.0.0/24 натится на
>внешний ип xx.xx.xx.xx). Теперь нада разрулить юзеров по разным каналам. Для
>начала создал добился того (с помощью iproute2) что пакет который приходит
>с первого линк и уходил назад по этому же линку. Далее
>создал таблицу users и начинаю разруливать юзеров
>Добавляю туда дефолт роут через второй линк
>ip route add default via yy.yy.yy.yy dev eth1 table users
>ip rule add from 192.168.0.101 table users
>ip route flush cache
>
>И тут кирдык. iptraf показывает что юзер послал запрос, а вот назад
>юзеру ничего не идет. Где грабли. Пробовал удалять дефолт роут в
>таблице main не помогает. Нат сделал как советовал ovax. Уже затрахался.
>Знаю что решение лежит гдето не поверхности, может ктото пнет мне
>пальцем на грабельки ?
ip route add default via $GATEWAY_PROV2 dev $eth_prov2 table users

Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Трабла с src routing"

Сообщение от Bonyk on 08-Апр-04, 12:43  (MSK)

Вообщем проблема решилась, оказалось все дело в squid. На роутере стоит прозрачный squid и слушает порт 3128. iptables транзитные пакеты  идущие на порт 80  заворачивал на порт 3128. Так вот, соединение в инет было инициировано самим роутером, потому src адрес был не юзерский а роутера, потому правило не работало. Остальные все что не http рулилось на второй линк как ему и положено. Проблему разрешить можно следующим образом. VPN сеть 192.168.0.0/24 разбить на две подсети, и заворачивать на проксю только первую из них, а вторую подсеть рулить напрямую на второй линк.
Или есть получше решения ?

Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Трабла с src routing"

Сообщение от ovax (??) on 12-Апр-04, 09:23  (MSK)

Ну, если тебе нужно пропустить напрямую только несколько адресов,
то проще в цепочке PREROUTING до правила, заварачивающего пакеты на порт 3128, прописать для нужных адресов правило -j ACCEPT.

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Трабла с src routing"
Сообщение от Bony on 05-Апр-04, 13:26 (MSK)
Неужели никто не сталкивался с такой проблемой ?
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "Трабла с src routing"
	Сообщение от miker on 05-Апр-04, 16:50 (MSK)
	>Неужели никто не сталкивался с такой проблемой ? С проблемой не сталкивался, на работе не юзаю, так что тока рекомендация. Убей default в основной таблице, посмотри куда что пойдёт. Когда я устанавливал - у меня никаких проблем не возникло. Кстати таблицу добавил хоть users ... Кстати номерочки не забывайте номерочки ... Насчёт разницы через iptables/ip думаю нет ... не встречал в настройках ядра отдельно под iptables и отдельно под ip =).
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "Трабла с src routing"
	Сообщение от Bony on 05-Апр-04, 17:37 (MSK)
	Таблицу users добавил конечно, а вот на счет того чтобы убрать default route с основной таблицы так это нада протестить, хотя по команде ip rule show видно что приоритеты таблиц идут в следующем порядке: local, main, default. Соответсвенно если я добавляю новую таблицу то у нее приоритет идет сразу после таблицы local, но все может быть .... нада попробовать И еще вопрос, на какой внешний ип натить сетку, ведь их два, так как линка тоже два, ведь если натить на первый то пакет вышедший через второй линк будет иметь source address первого линка, что не есть гуд (мне провайдер уже жаловался что от меня идут пакеты с левым source addr.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх

4. "Трабла с src routing"
Сообщение от ovax (??) on 06-Апр-04, 03:36 (MSK)
> Конечно не работает. Ведь ты натом всех заварачиваешь насильно на один исходящий адрес. Тебе надо сделать примерно следующее : iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source xx.xx.xx.xx iptables -t nat -A POSTROUTING -o eth2 -j SNAT --to-source yy.yy.yy.yy где eth1 и eth2 твои внешние интерфейсы с адресами xx.xx.xx.xx и yy.yy.yy.yy
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "Трабла с src routing"
	Сообщение от Bonyk on 06-Апр-04, 17:41 (MSK)
	Уточняю ситуацию, имеется сервер с 3 сетевыми картами, одна смотрит в локалку, две остальные в инет. Локал интерфейс имеет ип 10.1.1.254/24, ип интерфейса смотрящего на первого прова xx.xx.xx.xx, ип второго интерфейса смотрящего на второго прова yy.yy.yy.yy. Изеры имеют ип из диапазона 10.1.1.1/24 - 10.1.1.200/24. На серваке поднят VPN (pptpd). При конекте юзера ему выдается динамический ип из диапазона 192.168.0.0/24. Со стороны сервера соединение точка-точка имеет ип 192.168.0.1 . Также поднят прозрачный squid. Апитаблесом заворачиваю пакеты которые ломятся на 80, 8080 и тд http порты на порт 3128. Когда был один канал все просто пакет от юзера пришел на гейт если это http то он подхватывается squid'ой , если это что то другое то все идет напрямую (сетка 192.168.0.0/24 натится на внешний ип xx.xx.xx.xx). Теперь нада разрулить юзеров по разным каналам. Для начала создал добился того (с помощью iproute2) что пакет который приходит с первого линк и уходил назад по этому же линку. Далее создал таблицу users и начинаю разруливать юзеров Добавляю туда дефолт роут через второй линк ip route add default via yy.yy.yy.yy dev eth1 table users ip rule add from 192.168.0.101 table users ip route flush cache И тут кирдык. iptraf показывает что юзер послал запрос, а вот назад юзеру ничего не идет. Где грабли. Пробовал удалять дефолт роут в таблице main не помогает. Нат сделал как советовал ovax. Уже затрахался. Знаю что решение лежит гдето не поверхности, может ктото пнет мне пальцем на грабельки ?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "Трабла с src routing"
	Сообщение от nrvalex on 07-Апр-04, 15:22 (MSK)
	>Уточняю ситуацию, имеется сервер с 3 сетевыми картами, одна смотрит в локалку, >две остальные в инет. Локал интерфейс имеет ип 10.1.1.254/24, ип интерфейса >смотрящего на первого прова xx.xx.xx.xx, ип второго интерфейса смотрящего на второго >прова yy.yy.yy.yy. Изеры имеют ип из диапазона 10.1.1.1/24 - 10.1.1.200/24. На >серваке поднят VPN (pptpd). При конекте юзера ему выдается динамический ип >из диапазона 192.168.0.0/24. Со стороны сервера соединение точка-точка имеет ип 192.168.0.1 >. Также поднят прозрачный squid. Апитаблесом заворачиваю пакеты которые ломятся на >80, 8080 и тд http порты на порт 3128. Когда >был один канал все просто пакет от юзера пришел на гейт >если это http то он подхватывается squid'ой , если это что >то другое то все идет напрямую (сетка 192.168.0.0/24 натится на >внешний ип xx.xx.xx.xx). Теперь нада разрулить юзеров по разным каналам. Для >начала создал добился того (с помощью iproute2) что пакет который приходит >с первого линк и уходил назад по этому же линку. Далее >создал таблицу users и начинаю разруливать юзеров >Добавляю туда дефолт роут через второй линк >ip route add default via yy.yy.yy.yy dev eth1 table users >ip rule add from 192.168.0.101 table users >ip route flush cache > >И тут кирдык. iptraf показывает что юзер послал запрос, а вот назад >юзеру ничего не идет. Где грабли. Пробовал удалять дефолт роут в >таблице main не помогает. Нат сделал как советовал ovax. Уже затрахался. >Знаю что решение лежит гдето не поверхности, может ктото пнет мне >пальцем на грабельки ? ip route add default via $GATEWAY_PROV2 dev $eth_prov2 table users
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "Трабла с src routing"
	Сообщение от Bonyk on 08-Апр-04, 12:43 (MSK)
	Вообщем проблема решилась, оказалось все дело в squid. На роутере стоит прозрачный squid и слушает порт 3128. iptables транзитные пакеты идущие на порт 80 заворачивал на порт 3128. Так вот, соединение в инет было инициировано самим роутером, потому src адрес был не юзерский а роутера, потому правило не работало. Остальные все что не http рулилось на второй линк как ему и положено. Проблему разрешить можно следующим образом. VPN сеть 192.168.0.0/24 разбить на две подсети, и заворачивать на проксю только первую из них, а вторую подсеть рулить напрямую на второй линк. Или есть получше решения ?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "Трабла с src routing"
	Сообщение от ovax (??) on 12-Апр-04, 09:23 (MSK)
	Ну, если тебе нужно пропустить напрямую только несколько адресов, то проще в цепочке PREROUTING до правила, заварачивающего пакеты на порт 3128, прописать для нужных адресов правило -j ACCEPT.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх