https://www.opennet.ru/openforum/vsluhforumID1/78348.html Добрый день, искал решение своей проблемы по форуму, но или плохо искал или не нашел, поэтому прошу помочь в решении следующей проблемы:<br><br>Имеется шлюз (Linux) с тремя реальными адресами и внутр. сервер HTTP (Mail и т.д).<br>На шлюзе маршрут по умолчанию выбирается в зависимости от условий т.е. не постоянно смотрит на какой-то один интерфейс. В днс прописаны все три адреса, для отказоустойчивости. Доступ к внутр веб-серверу реалезован с помощью Prerouting. (проброс запросов с помошью проксирования через апач отработан на основе таблиц и правил маршрутизации, но не совсем устраивает. да и нужно еще открыть доступ к почтовому серверу и т.п.)<br>Вот тут возникает проблема - запросы, которые пришли с "недефолтового" интерфейса пробрасываются внутрь, обрабатываются веб-сервером и выплевываются наружу, но уже через дефолтовый маршрут... как итог - клиент не получает ответа с того интерфейса. на который послан запрос и ничего не видит.<br>Как я понял - правила на основе источника запроса не проходят, т.к. &#8364;работают https://www.opennet.ru/openforum/vsluhforumID1/78348.html#13 Fri, 25 Apr 2008 02:47:26 GMT На форуме часто задается вопрос, по поводу маршрутизации сети, подключенной к двум провайдерам.<br>В частном случае проблема расширяется тем, что нужно осуществлять проброс соединений к сервисам, расположенным в локальной сети.<br>Это делается с помощью DNAT, и при этом снова возникает проблема - по каналу какого провайдера отправлять ответ. <br>Проблема усугубляется тем, что обратное преобразование адресов выполняется уже после принятия решения о маршрутизации, <br>т.е. примерно в районе цепочки POSTROUTING, но скрытно от пользователя (в отличие от явного заворота на диверт в ipfw@freebsd).<br><br>Решить эту нерешаемую проблему поможет модуль CONNMARK. Принцип работы маршрутизатора для решения описанной задачи будет выглядеть примерно так:<br><br>Входящие соединения маркируются определенным флажком, после чего делается их проброс в нужное назначение.<br>Каждый обратный пакет соединения _до принятия решения о маршрутизации_ маркируется флажком соответствующего ему соединения (флажок восстанавливается).<br>На основании флажков п https://www.opennet.ru/openforum/vsluhforumID1/78348.html#12 Wed, 23 Jan 2008 07:52:47 GMT &gt;<br>&gt;&gt;P.S. Может возможно как-нибудь пообщаться? для перенятия опыта :) (например ICQ) <br>&gt;&gt;P.P.S А разве ip_forward не должен быть включен ? (чувствую себя совершенным <br>&gt;&gt;чайником :( ) <br>&gt;<br>&gt;Отпиши аську на мыло test <br>&gt;в домене <br>&gt;termexlab_ru <br><br>Пообщаться не проблема, но, например, я себя не считаю большим спецом, т.ч. смысла большого не будет.<br>А по ip_forwarding см. файл /proc/sys/net/ipv4/ip_forward -- по умолчанию в Linux там '0', т.е. ip_forward запрещен. Включается перманентно он путем редактирования файла /etc/sysctl.conf:<br><br>net.ipv4.ip_forward = 1<br><br>Вдруг поможет...<br> https://www.opennet.ru/openforum/vsluhforumID1/78348.html#11 Wed, 23 Jan 2008 06:46:45 GMT <br>&gt;P.S. Может возможно как-нибудь пообщаться? для перенятия опыта :) (например ICQ) <br>&gt;P.P.S А разве ip_forward не должен быть включен ? (чувствую себя совершенным <br>&gt;чайником :( ) <br><br>Отпиши аську на мыло test <br>в домене<br>termexlab_ru<br><br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/78348.html#10 Tue, 22 Jan 2008 17:48:14 GMT &gt;[оверквотинг удален]<br>&gt;ip route add to $P2_NET dev $P2_IF src $P2_IP <br>&gt;ip route add to $P3_NET dev $P3_IF src $P3_IP <br>&gt;<br>&gt;<br>&gt;Эти три правила мне кажутся дублирующими два предыдущих. <br>&gt;<br>&gt;ip route add $P1_NET dev $P1_IF src $P1_IP table $P1_TBL <br>&gt;ip route add $P2_NET dev $P2_IF src $P2_IP table $P2_TBL <br>&gt;ip route add $P3_NET dev $P3_IF src $P3_IP table $P3_TBL <br>&gt;<br><br>Я представлял себе то, что это занесение данных в соответствующие таблицы, для последующего использования на основе нижеследующих правил.<br>&gt;[оверквотинг удален]<br>&gt;ip route add default via $P1_GW table $P1_TBL <br>&gt;ip route add default via $P2_GW table $P2_TBL <br>&gt;ip route add default via $P3_GW table $P3_TBL <br>&gt;<br>&gt;<br>&gt;============== <br>&gt;<br>&gt;<br>&gt;Если входящие соединения устанавливать на адреса/порты открытые на router - все работает <br>&gt;как надо и входит и уходит по правильным интерфейсам ? <br><br>Да, если работать не со внутр. серверами, а со шлюзом - все работает отлично, но опять же только с этими правилами. Без этих правил все сыпалось по дефолтов https://www.opennet.ru/openforum/vsluhforumID1/78348.html#9 Tue, 22 Jan 2008 17:46:59 GMT ;-)<br> https://www.opennet.ru/openforum/vsluhforumID1/78348.html#8 Tue, 22 Jan 2008 17:46:19 GMT Может тупо, но вдруг -- ip_forward включен?<br> https://www.opennet.ru/openforum/vsluhforumID1/78348.html#7 Tue, 22 Jan 2008 16:06:17 GMT Я когда настраивал - у меня всё получилось и проблем не возникло. Сейчас не использую, но времени на тестирование нет.<br><br>&gt;дефолтовый маршрут смотрит на один из интерфейсов, допустим на eth1. Клиент цепляется <br>&gt;к eth3, запрашивая ресурс, шлюз (по прероутингу) его пробрасывает через eth0 <br>&gt;на внутр сервер, сервер отсылает ответ, который возвращается шлюзу, но шлюз <br>&gt;не находит в правилах "from" этого источника (т.к. тут уже не <br>&gt;from, а to (клиент из интернет и не относится ни к <br>&gt;одной из трех внешних сетей))и направляет ответ на eth1... итог - <br>&gt;клиент ничего не видит. <br><br>сервер отсылает ответ, в фазе PREROUTING он проходит обратную трансляцию, и в пакете адрес отправителя становится не сервер, а тот айпишник, на который пришел запрос.<br>Дальше он должен пойти в маршрутизации по правилу "from".<br><br>&gt;[оверквотинг удален]<br>&gt;ip route add to $P1_NET dev $P1_IF src $P1_IP <br>&gt;ip route add $P1_NET dev $P1_IF src $P1_IP table $P1_TBL <br>&gt;ip route add default via $P1_GW table $P1_TBL <br>&gt;<br>&gt;ip route add to $P2_N https://www.opennet.ru/openforum/vsluhforumID1/78348.html#6 Tue, 22 Jan 2008 14:13:51 GMT Может я просто не до конца еще разобрался (совсем недавно взялся за это)?<br><br>Вот мои размышления:<br>Есть 3 интерфейса торчащие в инет eth1, eth2, eth3 и локальный eth0. (на шлюзе)<br>Есть три таблици для сетей на этих интерфейсах и три правила from для сопоставления с этими таблицами, в зависимости откуда пришел запрос. (выше они приведены)<br><br>дефолтовый маршрут смотрит на один из интерфейсов, допустим на eth1. Клиент цепляется к eth3, запрашивая ресурс, шлюз (по прероутингу) его пробрасывает через eth0 на внутр сервер, сервер отсылает ответ, который возвращается шлюзу, но шлюз не находит в правилах "from" этого источника (т.к. тут уже не from, а to (клиент из интернет и не относится ни к одной из трех внешних сетей))и направляет ответ на eth1... итог - клиент ничего не видит.<br><br>А правила у меня создаются следующие, но работают-то они только для самого шлюза (т.е. пакет пришел, обработался шлюзом, который отправил ответ обратно клиенту):<br>ip route add to $P1_NET dev $P1_IF src $P1_IP<br>ip route add $P1_NET dev $ https://www.opennet.ru/openforum/vsluhforumID1/78348.html#5 Tue, 22 Jan 2008 12:59:00 GMT Честно говоря не особо понимаю в чем проблема. Описание маршрутизации через нескольких провайдеров, как это сделано у меня. Forward использовался некоторое время, сейчас не используется, так что не всё понятно. <br><br>После того, как прогоняется стартовый скрипт (у меня)<br><br>ip ru sh должен быть в результате таким:<br><br>0: from all lookup local &lt;- локальные интерфейсы<br>1000: from all lookup main &lt;- основная таблица маршрутизации. Используется как таблица маршрутизации в directly-connected сетки. Шлюз по умолчанию из неё удаляется<br><br>ip ro del default<br>и потом добавляется в таблицу default<br><br>ip ro add devault via DEF_GW dev DEV_DEF_GW [src DEF_SRC если надо] table default<br><br>&lt;!--<br>Обратите внимание на следующие правила. Они нужны, чтобы из локальных подсеток можно было обращаться на другие адреса нашего рутера.<br>Локальные подсетки - те сетки, у которых шлюз по умолчанию - этот роутер.<br>Иначе пакет будет идти вместо локальной сети на удаленный шлюз провайдера.<br>--&gt;<br><br><br>2000: from net1_ip to net3 lookup