Sziasztok,
van egy erdekes problemam, gondoltam hatha tud valaki segiteni.
A helyzet a kovetkezo: Adott a regi internet vonal es adott az uj, ami ket teljesen kulonbozo halozat.
A regin is jon meg befele forgalom, es az ujon is mar. Azt szeretnem valahogy megoldani, hogy parhuzamosan mukodjon a ketto egyutt, csak a buktato ott van, hogy (gyakorlati pl.):
Jon be a csomag a regi vonalon (eth0 mondjuk) azt en PREROUTING-ban attolom egy local LAN ip-nek, aki probal valaszolni a csomagra. Itt jon a problema, a valasz csomag az alapertelmezett gw-n akar visszafele menni, csak ugye nem azon az uton erkezett...
Valahogy igy:
eth0 (firewall) --> eth1 (firewall) --> eth0 (szolgaltatas hostja) --> eth1 (firewall) --> eth2 (firewall)
Olvastam mar sokat a temarol, iproute2 stb.stb.
A gondom inkabb az, hogy en nem csak a szerveremrol akarok kommunikalni, hanem meg mogule is. Ehhez mit kellene tennem?
Koszi a segitseget!
Udv.
- 1600 megtekintés
Hozzászólások
a PREROUTING-ban minden csomagot az intefész szerint megmarkolsz (én connmark-ot, majd mark-ot használtam erre), a megmarkolt csomagokat fel lehet használni a routingnál (ha az eth0-n jött be, akkor mondjuk a 1-es connmark-ot kap, ez a csomag ugye kimehet a lokál netre, ahonnan a válasz ugyanahhoz a kapcsolathoz tartozik, tehát ugyanaz lesz a connmark-ja).
amúgy meg http://lartc.org/
- A hozzászóláshoz be kell jelentkezni
Tehát,
olvasgattam kicsit én is, most azzal próbálkoztam, hogy:
-t mangle -A PREROUTING -i ethx -j MARK --set-mark 1
-t mangle -A PREROUTING -i ethy -j MARK --set-mark 2
ip rule add fwmark 1 rtable1
ip rule add fwmark 2 rtable2
Viszont nem nagyon akar a dolog működni valamiért.
Kell még más is hozzá vagy röviden, velősen ennyitől már illene neki működni normálisan?
Thx!
- A hozzászóláshoz be kell jelentkezni
OFF
Ez a "csomag megmarkolása" döbbenetesen szép nyelvi fordulat. :-)
/OFF
Bocs.
- A hozzászóláshoz be kell jelentkezni
ugye? :)
- A hozzászóláshoz be kell jelentkezni
En ezt ajanlom, nekem sokat segitett...
http://hup.hu/node/40227
R.
- A hozzászóláshoz be kell jelentkezni
Ujra itt :)
Tehat, odaig mar szepen eljutottam magamtol, hogy markolja a tuzfal a csomagokat,
valahogy igy:
$IPT -t mangle -A PREROUTING -j CONNMARK --restore-mark
$IPT -t mangle -A PREROUTING -m mark ! --mark 0 -j ACCEPT
$IPT -t mangle -A PREROUTING -i $INET_IF_NEW -j MARK --set-mark 1
$IPT -t mangle -A PREROUTING -i $INET_IF_OLD -j MARK --set-mark 2
$IPT -t mangle -A PREROUTING -j CONNMARK --save-mark
Ez mukodik is faszan.
Viszont, letrehoztam 2db tablat az iproute2-vel, legyen T1 es T2.
T1-ben az alapertelmezett atjaro az uj kapcsoalt atjaroja, valahogy igy nez ki:
firewall:~# ip route show table T1
xx.xx.xx.xx/30 dev eth1 scope link src xx.xx.xx.yy
127.0.0.0/8 dev lo scope link
default via xx.xxx.xx.xx dev eth1
Masodik tabla ugyanez csak az odavalo ip cimekkel.
Valakinek valami otlet?
ip rule fwmark 1 table T1
ip rule fwmark 2 table T2
Megvolt, elviekben tudnia kellene a gepnek, hogy melyik markolt csomagot merre tolja.
Elore is koszi.
Udv.
- A hozzászóláshoz be kell jelentkezni