forum.opennet.ru - "source routing / iptables+iproute2" (6)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"source routing / iptables+iproute2"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"source routing / iptables+iproute2"
Сообщение от sojeur (ok) on 21-Апр-06, 22:34
Здравствуйте. Столкнулся с, вероятно, распространенной проблемой. Но, к сожалению, не удалось найти, пусть даже приближенного, решения. Упрощением ситуация сводится к следующей структуре: (сеть1:10.0.0.0/16)- - - -<10.0.0.1(router)20.0.0.1>- - - -<20.0.0.2(web-server)30.0.0.2>- - - -<30.0.0.1(router)10.0.0.1>- - - -(сеть2:10.0.0.0/16) Задача: Доступ к <web-server> должен быть из обеих сетей (сети1 и сети2). Условия: 1. На <router>-ах статическая маршрутизация в чистом виде. И на них ничего менять нельзя, никаких SNAT/DNAT... 2. <web-server> стоит на Linux. Apache слушает 20.0.0.2:80 и 30.0.0.2:80. Доступны любые инструменты - iptables, iproute2 и т.д., за исключением все того же "-j SNAT", apache'у нужны уникальные ip посетителей (пусть даже их кол-во и будет в два раза отличаться от реального). Можно счетать, что default gateway у <web-server> изначально просто нет. Если кто-нибудь сталкивался с подобной ситуацией, подскажите пожалуйста. Или может, есть где посмотреть?
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Оглавление

source routing / iptables+iproute2, daff, 05:43 , 22-Апр-06, (1)

source routing / iptables+iproute2, daff, 05:45 , 22-Апр-06, (2)

source routing / iptables+iproute2, sojeur, 09:45 , 22-Апр-06, (3)

source routing / iptables+iproute2, sojeur, 10:11 , 22-Апр-06, (4)
source routing / iptables+iproute2, daff, 09:08 , 24-Апр-06, (5)

source routing / iptables+iproute2, sojeur, 10:49 , 25-Апр-06, (6)

Сообщения по теме [Сортировка по времени, UBB]

1. "source routing / iptables+iproute2"

Сообщение от daff on 22-Апр-06, 05:43

-j NETMAP
http://iptables-tutorial.frozentux.net/chunkyhtml/x4471.html

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "source routing / iptables+iproute2"

Сообщение от daff on 22-Апр-06, 05:45

http://www.netfilter.org/patch-o-matic/pom-base.html#pom-base-NETMAP

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "source routing / iptables+iproute2"

Сообщение от sojeur (ok) on 22-Апр-06, 09:45

2 daff: Премного благодарен! В данной ситуации эта опция все решает! Спасибо! В iptables 1.1.х ее не было :(
Тогда, если позволите, хотел бы спросить еще.
Если мы немного изменим ситуацию следующим образом -
(Internet)- - - -<(router1)20.0.0.1>- - - -<20.0.0.2(web-server)30.0.0.2>- - - -<30.0.0.1(router2)>- - - -(Internet)
Фактически, сервер, доступный из интернет через различные автономки.
Оставляя задачу и условия прежними, особенно "посылать надо туда, откуда спросили" :), в данной ситуации, как мне видится, мы лишаемся возможности использования SNAT/DNAT/NETMAP.
Подскажите пожалуйста, где можно покопать на предмет решения?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "source routing / iptables+iproute2"

Сообщение от sojeur (ok) on 22-Апр-06, 10:11

Мне подсказали универсальный способ решения. Протестировать прямо сейчас, к сожалению, не имею возможности, но пока не вижу, почему это бы не сработало.
Суть решения заключается в использовании iproute2 и двух таблиц марщрутизации для разных интефейсов.
Всем спасибо за поддержку!

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

5. "source routing / iptables+iproute2"

Сообщение от daff on 24-Апр-06, 09:08

>Фактически, сервер, доступный из интернет через различные автономки.
думаю что то вроде:
iptables -t mangle -A OUTPUT -s AS1_web_server_ip -p tcp --sport 80 -j ROUTE --gw AS1_router
iptables -t mangle -A OUTPUT -s AS2_web_server_ip -p tcp --sport 80 -j ROUTE --gw AS2_router
nat-у насколько я понимаю мешать не должно

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

6. "source routing / iptables+iproute2"

Сообщение от sojeur (ok) on 25-Апр-06, 10:49

Да, использование -j ROUTE, это вариант. На несложном сервере, это решение прозрачное и логичное. Спасибо.
Но я все-таки вышел из ситуации другим способом, подобным, описаному в
http://gazette.linux.ru.net/rus/articles/lartc/x348.html
Пункт 4.2.1 в точности соответствует условиям задачи.
(оригинал - http://lartc.org/howto/)

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "source routing / iptables+iproute2"
Сообщение от daff on 22-Апр-06, 05:43
-j NETMAP http://iptables-tutorial.frozentux.net/chunkyhtml/x4471.html
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	2. "source routing / iptables+iproute2"
	Сообщение от daff on 22-Апр-06, 05:45
	http://www.netfilter.org/patch-o-matic/pom-base.html#pom-base-NETMAP
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	3. "source routing / iptables+iproute2"
	Сообщение от sojeur (ok) on 22-Апр-06, 09:45
	2 daff: Премного благодарен! В данной ситуации эта опция все решает! Спасибо! В iptables 1.1.х ее не было :( Тогда, если позволите, хотел бы спросить еще. Если мы немного изменим ситуацию следующим образом - (Internet)- - - -<(router1)20.0.0.1>- - - -<20.0.0.2(web-server)30.0.0.2>- - - -<30.0.0.1(router2)>- - - -(Internet) Фактически, сервер, доступный из интернет через различные автономки. Оставляя задачу и условия прежними, особенно "посылать надо туда, откуда спросили" :), в данной ситуации, как мне видится, мы лишаемся возможности использования SNAT/DNAT/NETMAP. Подскажите пожалуйста, где можно покопать на предмет решения?
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	4. "source routing / iptables+iproute2"
	Сообщение от sojeur (ok) on 22-Апр-06, 10:11
	Мне подсказали универсальный способ решения. Протестировать прямо сейчас, к сожалению, не имею возможности, но пока не вижу, почему это бы не сработало. Суть решения заключается в использовании iproute2 и двух таблиц марщрутизации для разных интефейсов. Всем спасибо за поддержку!
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	5. "source routing / iptables+iproute2"
	Сообщение от daff on 24-Апр-06, 09:08
	>Фактически, сервер, доступный из интернет через различные автономки. думаю что то вроде: iptables -t mangle -A OUTPUT -s AS1_web_server_ip -p tcp --sport 80 -j ROUTE --gw AS1_router iptables -t mangle -A OUTPUT -s AS2_web_server_ip -p tcp --sport 80 -j ROUTE --gw AS2_router nat-у насколько я понимаю мешать не должно
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	6. "source routing / iptables+iproute2"
	Сообщение от sojeur (ok) on 25-Апр-06, 10:49
	Да, использование -j ROUTE, это вариант. На несложном сервере, это решение прозрачное и логичное. Спасибо. Но я все-таки вышел из ситуации другим способом, подобным, описаному в http://gazette.linux.ru.net/rus/articles/lartc/x348.html Пункт 4.2.1 в точности соответствует условиям задачи. (оригинал - http://lartc.org/howto/)
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]