znaczacy > comp.os.* > comp.os.linux.sieci

Sergiusz Rozanski (15.11.2010, 13:31)
Jest sobie debian na ktrym jest zaterminowane cze wiatowodowe
na klasie poczeniowej, a z drugiej strony na eth0 wisi moja klasa
IP i na niej moje serwery z usugami itd, kady ma swoje IP. Debian
robi za router/firewall/secundary dns - oglnie zarzdza sieci.
Mam dodatkowe cze backupowe ale zakoczone pul IP (dostawcy) i
chc t pul rozda na niektre usugi. Mog j bridgowa, ale
konsekwencj jest bindowanie kolejnych IP na wszystkich serwerach,
czego wanie chciabym unikn, a w przypadku niektrych moe to
by niemoliwe (jakie pudeko embeded).

Pomylaem e podniose te IP z backupowego cza wszystkie mi
potrzebne na tym debianie co to robi za router i poszczeglne usugi
DNAT-uje na poszczeglne IP/PORT z
mojej puli. Czy to ma szanse ruszy? Nie ma problemu pewnie z
przychodzcym pakietem, bo trafi on w reguk DNAT-ujc i otrzyma
przekierowanie celu na odpowiednie IP/PORT, ale wracajc z usugi
to IP/PORT wychodzi gwnym aczem, a powinno zosta nadpisane
z powrotem odpowiednim IP acza backupowego. Czy sama tablica
conntrack da sobie rad z rozrnianiem pakietw wracajcych z
usug i bdzie umiaa im odpowiednio podmieni port rdowy
(lub nie podmienia) i tym samym polecie wg odpowiedniego ip ru?
bofh (15.11.2010, 14:08)
On 15.11.2010 12:31, Sergiusz Rozanski wrote:
[..]
> Pomylaem e podniose te IP z backupowego cza wszystkie mi
> potrzebne na tym debianie co to robi za router i poszczeglne usugi
> DNAT-uje na poszczeglne IP/PORT z


I co Ci to da? Bdziesz mia wyjcie na wiat, ale wiat jeszcze musi
si dowiedzie o twoich IP, a DNS moe rozgasza si nawet 48 godzin.
Potrzebujesz albo klasy PI i BGP, albo, eby drugi provider rozgasza
te dostp do twojej klasy podstawowej.
Sergiusz Rozanski (15.11.2010, 14:59)
Dnia 15.11.2010 bofh <bofh> napisa/a:
> On 15.11.2010 12:31, Sergiusz Rozanski wrote:
> I co Ci to da? Bdziesz mia wyjcie na wiat, ale wiat jeszcze musi
> si dowiedzie o twoich IP, a DNS moe rozgasza si nawet 48 godzin.
> Potrzebujesz albo klasy PI i BGP, albo, eby drugi provider rozgasza
> te dostp do twojej klasy podstawowej.


Skupmy si na routingu i DNAT. Czy da sobie rad. To ma by cze backupowe
w innym sensie ni BGP. Po prostu usuga z moich IP dostpna pod moim IP i
jednoczenie pod dodatkowym, przy czym serwer wiadczcy usug ma by caej
machlojki niewiadomy, aby mu nie dokada roboty, albo po prostu tak nie
umie dziaa. Musz to uzyska tylko na routerze przez iptables/nat/ip ru itd.

W przykadzie:

1.2.3.4 - co w sieci
2.2.2.2 - moje publicze IP serwera
3.3.3.3 - moje dodatkowe IP

1) 1.2.3.4 -> 2.2.2.2:80 - bez zmian
2) 1.2.3.4 -> 3.3.3.3:80[redirect to 2.2.2.2:80] -> 2.2.2.2:80 - przekierowanie

Nic nie wiadome pudeko pod 2.2.2.2:80 odpowie 2.2.2.2:80 -> 1.2.3.4

w pierwszym przypadku router przekazuje pakiet bez zmian
w drugim robi dnat ale w przypadku powrotu:

2.2.2.2:80 -> 1.2.3.4 (za kadym razem wraca taki pakiet) i teraz
contrack ma wiedzie, e jeli to byo 1) to nie ingerowa, a jeli to
byo 2) to z powrotem podmieni 2.2.2.2:80 na 3.3.3.3:80 i polecie
przez ip ru odpowiednim czem.

Chodzi wanie o to i tylko o to.
horhe (15.11.2010, 15:23)
W dniu 15.11.2010 12:31, Sergiusz Rozanski pisze:
[..]
> conntrack da sobie rad z rozrnianiem pakietw wracajcych z
> usug i bdzie umiaa im odpowiednio podmieni port rdowy
> (lub nie podmienia) i tym samym polecie wg odpowiedniego ip ru?


Troch uytecznych informacji moesz znale tam:


Ja mam sytuacj tak, dwa najzwyklejsze cza, przez jedno idzie ruch
domylny, przez drugie id niektre usugi. Za ruch przychodzcy czem
XX wyjdzie take tym samym interfejsem, czyli chyba to jest to czego
potrzebujesz.
Robi to z grubsza tak:

$IPTABLES -t nat -A POSTROUTING -o $ZEWN1_INT -j SNAT --to-source $ZEWN1_IP
$IPTABLES -t nat -A POSTROUTING -o $ZEWN2_INT -j SNAT --to-source $ZEWN2_IP
$IPTABLES -t mangle -N NETIA
$IPTABLES -t mangle -A NETIA -j MARK --set-mark 1
$IPTABLES -t mangle -A NETIA -j CONNMARK --save-mark
$IPTABLES -t mangle -N DSL
$IPTABLES -t mangle -A DSL -j MARK --set-mark 2
$IPTABLES -t mangle -A DSL -j CONNMARK --save-mark

a potem mieszam w rutingu:
#czyszcze tabele routingu
ip route flush table DSL 2>/dev/null
ip route flush table NETIA2>/dev/null
ip route delete table DSL 2>/dev/null
ip route delete table NETIA 2>/dev/null
ip rule delete from all fwmark 1 2>/dev/null
ip rule delete from all fwmark 2 2>/dev/null
ip rule delete fwmark 1 table NETIA2>/dev/null
ip rule delete fwmark 2 table DSL 2>/dev/null
ip rule del from $ZEWN1_IPMASK table NETIA 2>/dev/null
ip rule del from $ZEWN2_IPMASK table DSL 2>/dev/null
ip route del default 2>/dev/null

#a teraz ponownie zapelniam tabele routingu
ip route add $ZEWN1_NET dev $ZEWN1_INT src $ZEWN1_IP table NETIA
ip route add $ZEWN2_NET dev $ZEWN2_INT src $ZEWN2_IP table DSL
ip route add table NETIA default via $ZEWN1_GWip route add table DSL
default via $ZEWN2_GW
ip rule add from $ZEWN1_IPMASK table NETIA
ip rule add from $ZEWN2_IPMASK table DSLip route add 127.0.0.0/8 dev lo
table NETIA
ip route add 127.0.0.0/8 dev lo table DSL
ip route add $LAN_NET dev $LAN_INT table NETIA
ip route add $LAN_NET dev $LAN_INT table DSL ip rule add fwmark 1
table NETIA
ip rule add fwmark 2 table DSL
ip route add default via $ZEWN2_GW dev $ZEWN2_INTip route flush cache

do tego w /etc/iproute2/rt_tables:

251 DSL
252 NETIA

W drodze rnych eksperymentw podczas uruchamiania tego, doszedem, e
potrzebny jest patch ze strony: ,
natomiast nie pamitam ju szczegw kto, po co i na co, pamitam, e w
moim przypadku jest niezbdny. (byyyy moe zastpuje markowanie
pocze przychodzcych, czyli nie musz wszystkiego na eth44 markowa
jako DSL, a na eth66 jako NETIA)

ycz miej zabawy przy zgrywaniu tego z BGP ;)
ein (15.11.2010, 16:15)
On 11/15/2010 01:59 PM, Sergiusz Rozanski wrote:
[...]
> Chodzi wanie o to i tylko o to.




Chapter 4. Rules - routing policy database

Pozdrawiam.
Sergiusz Rozanski (15.11.2010, 16:47)
Dnia 15.11.2010 ein <ein> napisa/a:
> On 11/15/2010 01:59 PM, Sergiusz Rozanski wrote:
> [...]
>> Chodzi wanie o to i tylko o to.

>
> Chapter 4. Rules - routing policy database


A nie, to to ju mi chodzi :) to e tak powiem _podstawa_ aby lecie dalej :)
Sergiusz Rozanski (15.11.2010, 16:57)
Dnia 15.11.2010 horhe <niedzialajacy> napisa/a:
> Ja mam sytuacj tak, dwa najzwyklejsze cza, przez jedno idzie ruch
> domylny, przez drugie id niektre usugi. Za ruch przychodzcy czem
> XX wyjdzie take tym samym interfejsem, czyli chyba to jest to czego
> potrzebujesz.


No prawie prawie, ja musz manglowa ruch do _rodka_ ty masz snat, ale daem rade,
dziki za podpowied czego szuka, generalnie:

/sbin/iptables -t mangle -F PREROUTING
/sbin/iptables -t mangle -A PREROUTING -m state --state NEW -i eth2 -j MARK --set-mark 2
/sbin/iptables -t mangle -A PREROUTING -m state --state NEW -i eth1 -j MARK --set-mark 1
/sbin/iptables -t mangle -A PREROUTING -m state --state NEW -i eth2 -j CONNMARK --save-mark
/sbin/iptables -t mangle -A PREROUTING -m state --state NEW -i eth1 -j CONNMARK --save-mark
/sbin/iptables -t mangle -A PREROUTING -m state --state ESTABLISHED,RELATED -i eth0 -j CONNMARK --restore-mark

eth1 i eth2 to dostawcy, eth0 to moje wic w 1 stron je znakuje w drug przywracam znak

koo pierwszej linii dodaem drug:
ip ru add from 3.3.3.3 table drugie_lacza
ip ru add from all fwmark 0x2 lookup drugie_lacze

czyli te _z_ hosta maj pierwszy wpis, a te forwardowane api si na ten drugi
reszta tabelek routingu default i drugie_lacze bez zmian

no i jeszcze doda odpowiednie otworki per usuga byo tylko eth1, musiaem doda oczywicie drugi
wpis z eth2:

/sbin/iptables -A FORWARD -m state --state NEW -i eth1 -o eth0 -p tcp --dport 80 -d 2.2.2.2 -j ACCEPT
/sbin/iptables -A FORWARD -m state --state NEW -i eth2 -o eth0 -p tcp --dport 80 -d 2.2.2.2 -j ACCEPT

> ycz miej zabawy przy zgrywaniu tego z BGP ;)


No bd musia w niedalekiej przyszoci. Jak bde mia BGP to tylko moje IP
zostan, ale kilka IP od operatora musz zostawi na czas gdy BGP ju bdzie
dziaao i wtedy przeprowadzka i dopiero bd mg si tego pozby. Z td te
kombinacje.
horhe (16.11.2010, 10:52)
W dniu 15.11.2010 15:57, Sergiusz Rozanski pisze:
> No prawie prawie, ja musz manglowa ruch do _rodka_ ty masz snat, ale daem rade,
> dziki za podpowied czego szuka, generalnie:


Snat to ja mam na zewntrz, no ale wane, e skutecznie Ci natchno;)
pawel (22.11.2010, 23:11)
Sorry e nie na temat. Ale si umiaem.
Wyobraziem sobie twj tekst przeczytany paniusi z naszej ksigowoci.
Ju sobie wyobraam jakby zareagowaa:)
Zapewne podobnie jak ona prbowaa wytumaczy mi konta.

Pozdrawiam
Pawe

Uytkownik "Sergiusz Rozanski" <write-only-with-spf> napisa w
wiadomoci news:-spf
[..]
horhe (23.11.2010, 11:58)
W dniu 22.11.2010 22:11, pawel pisze:
> Sorry e nie na temat. Ale si umiaem.
> Wyobraziem sobie twj tekst przeczytany paniusi z naszej ksigowoci.
> Ju sobie wyobraam jakby zareagowaa:)
> Zapewne podobnie jak ona prbowaa wytumaczy mi konta.


W temacie plan kont to chyba najtrudniejsze jest prawidowe przypisanie
kont do RZiS oraz TB, a reszta nie powinna by wielkim problemem dla
umysw ukierunkowanych informatyczno-matematycznie;)
Podobne wtki