Egy szerver ket halozatban, belso gepkent

Hálózati eszközök

Egy szerver ket halozatban, belso gepkent

  • 2348 megtekintés

( belabacsi | 2004. 08. 25., sze – 20:46 )

Adott egy debian szerver, ami eddig kivaloan kiszolgat egy ceget. Most egy masik ceget is ra kell kotnom, de szivok vele.

A ket cegnek ket kulon haloja van (192.168.0.1/24 illetve 192.168.64.129/25). A gepnek kifele is mennie kell (az elso cegnel beforwardoltam ezt-azt, de a masiknak nem en configolok a tuzfalat, ezert nem jo az a megoldas se, hogy harom halokartya, egy kulso es ket belso haloval - mar csak azert is, mert B ceg nem kivancsi az A forgalmara es viszont). Kitalaltam, hogy teszek a gepbe meg egy halokarit, az egyik halokari megy az egyik ceg fele, a masik megy a masik ceg fele, mindegyiknek megadva a kello IP-t (szerver leven mindket esetben fix IP-t), gatewayt, netmaskot, stb. A ket ceg halozata eddig egyaltalan nem csatlakozott egymashoz, most is csak ez szerver a kozos pont.

Na most az a baj, hogy nem megy a dolog. Ha meg van adva mindket halokarinak a hozzajuk illo gateway, akkor meg csak pingetni se lehet a gepet. Ha csak az egyiknel van megadva, akkor abbol a halobol latszik is a gep, de a masikbol csak "korben", a masik ip-vel. Mivel mindket cegnel megvan a sajat router, ezert a megfelelo csomagokat megfelelo iranyba kene kuldeni - na ez az, ami sehogy se akar osszejonni. A legjobb, amit elertem, hogy az egyik halobol latszik, a masikbol meg nem - mindig abbol latszik, amelyik halokarinak megadom a gatewayt. Ebbol azt sejtem, hogy valami rutolasi gond lesz, de nem birok rajonni.

Van valakinek tapasztalata, hogyan kell egy gepet ket halozatba is belso gepkent bekotni? (A ket cegnek egyebkent nem sok koze van egymashoz, azert gondoltam, hogy meguszom iptable meg nat meg ijen nyalaksagok nelkul - de ha nem, hat azt is mondjatok el, lecci!!!)

( joyeux | 2004. 08. 25., sze – 22:16 )

A legjobb, amit elertem, hogy az egyik halobol latszik, a masikbol meg nem - mindig abbol latszik, amelyik halokarinak megadom a gatewayt. Ebbol azt sejtem, hogy valami rutolasi gond lesz, de nem birok rajonni.

Jól sejted, elvileg, ha a két hálózati csatoló két külön hálózatra van bekonfigolva,akkor a routing tábla is úgy "alakul", hogy látnod kellene mindkét hálózatot.
Nézd meg a routing táblát (netstat -r vagy route).
Ha 192.168.0.0/24 -nek és a 192.168.64.0/24 -nek szerepelnie kell a megfelelő hálózati eszközzel mint kimenő interfész (pl.: eth0) és a gatewaynek a hálókártya ip címe kell, hogy szerepeljen (vagy csak winfoshon van így ? ) Esetleg a fenti parancsok egyikének a kimenetét is beírhatod, ha nem megy (persze a kényes részeket eltakarva).

A gép ,hogy lát ki a netre ? Valamelyk hálókártyán ? Mert akkor kicsit bonyolódik a helyzet.

( Skuzzy | 2004. 08. 25., sze – 22:57 )

Jol ertelmezem? Van a ket ceg haloja, mindketton van 1-1 fuggetlen gatway kifele. Te be akarsz rakni egy szervert kozejuk ugy, hogy a kifele meno forgalmak a gateway-eken menjenek, a szerver mindket subnetben log 1-1 halokartyaval/ip-vel, es azzal ott latszon. (Es talan van egy 3. laba kulon kifele?) Ha a fentiek vannak, akkor miert kell megadni neked a szerveren a subnetek gateway-et? Magat a subnetet routolod az adott kartyara, de a gateway-nek semmi koze ehhez szvsz. Vagy hulyeseget irok?

( Skuzzy | 2004. 08. 25., sze – 23:30 )

Belegondolva, ha jol meg vannak adva a networkok, akkor meg a ket gateway mellett is mukodnie kellene a fentiek ellenre is, de akkor is itt valami gaz van a routolassal. Azt sem irtad pontosan, hogy a szervert nem lehet pingetni, vagy arrol nem tudsz. Gondolom az utobbi van, olyan, mintha mindig a masik gatweynek kuldene a csomagot, az meg persze nem tudja atrakni a masik subnetbe. Egy route kimenetet belinkelhetnel.

( belabacsi | 2004. 08. 26., cs – 06:56 )

[quote:ed51783b77="joyeux"]Jól sejted, elvileg, ha a két hálózati csatoló két külön hálózatra van bekonfigolva,akkor a routing tábla is úgy "alakul", hogy látnod kellene mindkét hálózatot.
Nézd meg a routing táblát (netstat -r vagy route).

[code:1:ed51783b77]
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.64.129 0.0.0.0 255.255.255.128 U 0 0 0 eth0
192.168.0.1 0.0.0.0 255.255.255.0 U 0 0 0 eth1
0.0.0.0 192.168.0.254 0.0.0.0 UG 0 0 0 eth1
0.0.0.0 192.168.64.254 0.0.0.0 UG 0 0 0 eth0
[/code:1:ed51783b77]
[quote:ed51783b77="joyeux"]Ha 192.168.0.0/24 -nek és a 192.168.64.0/24 -nek szerepelnie kell a megfelelő hálózati eszközzel mint kimenő interfész (pl.: eth0) és a gatewaynek a hálókártya ip címe kell, hogy szerepeljen (vagy csak winfoshon van így ? ) Esetleg a fenti parancsok egyikének a kimenetét is beírhatod, ha nem megy (persze a kényes részeket eltakarva).

A gép ,hogy lát ki a netre ? Valamelyk hálókártyán ? Mert akkor kicsit bonyolódik a helyzet.

A fenti configgal egyik halobol sem pingetheto a szerver, egyik ip-jen sem. Mint latszik, nem a sajat halokarija van megadva gatewaynak, hanem az adott halo gatewayja. Lehet, hogy ez a gond?

Masreszol a gep direktben nem lat ki netre, csak a fenti ket halozat valamelyikenek gatewayan keresztul. Megegyszer: ha az egyik gatewayt leszedem, akkor a masikon megy ki frankon, es a masik halorol pingetheto es frankon megy minden, de amelyik gatewayt leszedem, abbol a halobol mintha ott se lenne a gep.

Egyeb otlet? (Mindjart valaszolok a masik hozzaszolosakra is, hatha abbol tobbminden kiderul.)

( belabacsi | 2004. 08. 26., cs – 07:05 )

[quote:89109e2308="Skuzzy"]Jol ertelmezem? Van a ket ceg haloja, mindketton van 1-1 fuggetlen gatway kifele. Te be akarsz rakni egy szervert kozejuk ugy, hogy a kifele meno forgalmak a gateway-eken menjenek, a szerver mindket subnetben log 1-1 halokartyaval/ip-vel, es azzal ott latszon. (Es talan van egy 3. laba kulon kifele?) Ha a fentiek vannak, akkor miert kell megadni neked a szerveren a subnetek gateway-et? Magat a subnetet routolod az adott kartyara, de a gateway-nek semmi koze ehhez szvsz. Vagy hulyeseget irok?

Igen, jol ertelmezed; nem, nincs 3. laba kifele, mert a ket ceg meglevo kapcsolatan kene menni kifele.

Nem tom, hoyg hulyeseget irsz-e, de jol ertem, hogy nem a gatewayokra kene rutolni, hanem a szerverben levo halokarikra? Mert akkor ertem a dolgot, es akkor szerintem is mennie kene a ket halozatbol kulon-kulon, de mi van a kulvilaggal? Annak hol illetve hova valaszol?

( johans | 2004. 08. 26., cs – 09:05 )

Ma reggel egy kicsit lassú a felfogásom, de úgy gondolom, hogy amit csinálni akarsz, az mezei route parancsokkal nem elérhető. Az egyszerű routolásnál a következő szabályok vannak:
- Elérhetők azok a subnetek, amelyekbe az interface definíciók szerint az egyes interface-ek tartoznak (ehhez
- Minden mást el kell küldeni az 1. darab default gatewaynek
- Több default gateway esetén csak az első ilyen bejegyzés kerül figyelembe vételre

Ha neked két interface-ed van, és mindkettőre érkezhetnek subneten kívüli csomagok, és te ezeket ugyan azon az interface-en akarod visszaküldeni, annak több módja is van. Az egyik legegyszerűbb talán (legalábbis ilyen korai órán), hogy "megfested" fwmark-kal az egyik interface csomagjait, és a "színes" csomagokat erre az interface-re routolod. Ehhez a kernelben be kell kapcsolva legyen az advanced routing, és az iproute/iproute2 (nem debianozok egy ideje, nem tudom hogy hívják pontosan) csomagot fel kell rakni.

Ezután a csomagszűrő szabályaid közé fel kell venni valami ilyesmit:

[code:1:d3a40572a3]
iptables -A PREROUTING -t mangle -i eth1 -m state --state NEW -j CONNMARK --set-mark 1
iptables -A PREROUTING -t mangle -m connmark --mark 1 -j MARK --set-mark 1
[/code:1:d3a40572a3]

A routing table-t pedig ip route-tal kell felépíteni, pl, így:

[code:1:d3a40572a3]ifconfig eth0 192.168.0.1 netmask 255.255.255.0
ifconfig eth1 192.168.64.129 netmask 255.255.255.128
route add default gw 192.168.0.254
ip ru add fwmark 1 table 10
ip ro add default via 192.168.64.254 dev eth1 table 10
echo 0 > /proc/sys/net/ipv4/conf/eth1/rp_filter
[/code:1:d3a40572a3]

Az advanced routingnál több olyan táblázatod van, mint amilyet a "route" parancs megmutat, és a route parancs ezek közül csak az elsőt piszkálja. A fenti parancsokkal létrehozol egy másodikat is (név szerint a 10-est), amiben a default route a másik irányba mutat. Ezt a táblát pedig akkor fogja elővenni a kernel, ha a fwmark=1 a csomagon. Arról pedig, hogy minden eth1-en kezdődő kapcsolat fwmark-ja 1 legyen, a csomagszűrő gondoskodik.

( johans | 2004. 08. 26., cs – 09:19 )

Átgondolva, ha csak a gépen végződő kapcsolatok vannak, egyszerűbb:
[code:1:792facc42a]ip ru add from 192.168.64.129 tab 10
ip ro add default via 192.168.64.254 sec 192.168.64.129 tab 10
[/code:1:792facc42a]

És nem kell a csomagszűrővel vacakolni. De ez tényleg csak akkor működik, ha nincs a gépen forwardolt forgalom.