routolás

Linux-haladó

Hi!

A következőben kérem a segítségeteket. Az iskolánknak van két internetkapcsolata, az egyik sulinetes. Egészen eddig terheléselosztásos routerrel használtuk a két kapcsolatot együtt. Tegnap tönkrement a routerünk, és helyette csak olyan tűzfalat tudtam betenni, ami csak egy kapcsolatot tud kezelni. A sulinetes kapcsolatunk routerén be van állítva a tűzfal, ezzel nincs gond. A gond azzal van, hogy nem tudtam jól beállítani a routolást. Az ideális az lenne, ha megint terheléselosztást tudnék megvalósítani. Rosszabb esetben az is elég lenne, ha a levelezésünkhöz, meg esetleg 1-2 nagyobb forgalmú oldalhoz használhatnánk a sulinetes kapcsolatot. A levelező+proxy szerverünk debianos.
route
195.178.117.100 * 255.255.255.248 U 0 0 0 eth1
195.178.255.0 gw.sulinetes 255.255.255.192 UG 0 0 0 eth1
localnet * 255.255.255.0 U 0 0 0 eth0
default gw.sulinetes 0.0.0.0 UG 0 0 0 eth1
default gw2 0.0.0.0 UG 0 0 0 eth0

interfaces:

...
iface eth0 inet static
address 192.168.0.4
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255
gateway 192.168.0.254
# dns-* options are implemented by the resolvconf package, if installed
dns-nameservers 192.168.0.4
dns-search pm.local

#sulinet fele
iface eth1 inet static
address 195.178.117.101
netmask 255.255.255.248
network 195.178.117.100
broadcast 195.178.117.107
gateway 195.178.117.106
dns-nameservers 195.178.255.4 195.178.255.57
dns-search p-m.sulinet.hu
up route add -net 195.178.255.0 netmask 255.255.255.192 gw 195.178.117.106
pre-down route del -net 195.178.255.0 netmask 255.255.255.192 gw 195.178.117.106

(kicsit átírtam a címeket)
Ezzel most minden a gw.sulinetes-en keresztül megy...

Előre is kösz:Tamás.

  • 2023 megtekintés

( nagysa v | 2010. 03. 04., cs – 10:39 )

Szia,
azért megy a sulineten keresztül, mert a route táblában az van elöl.
default gw.sulinetes 0.0.0.0 UG 0 0 0 eth1
default gw2 0.0.0.0 UG 0 0 0 eth0
kettő default értelmetlen.

Elküldenéd az iptables -t nat -L -vn kimenetét!
Szerintem ott kell kotorászni.

Furcsa ez a netmask is 255.255.255.192 e szerint a sulinetes hálóban összesen 62 host lehet. Na ezt majd később.

Ja és kellene az iptables -L -vn kimenetéből a FORWARD tábla!

Nem állítottam be a tűzfalat, csak routert állítottam be tűzfalnak:
iptables -t nat -L -vn
Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

iptables -L -vn
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination

Az rendben van, hogy kettő default értelmetlen, Én is észrevettem a dolgot. Az interfaces-ből jön ez így. Szedjem ki a gateway-t az eth1-ből, és hagyjam csak az up route ... parancsot?

( Mik v | 2010. 03. 04., cs – 12:00 )

Ahogy nagysa is írta default gw csak 1 van. Az eth0-nak nem kell adni. Ill. a
up route add -net 195.178.255.0 netmask 255.255.255.192 gw 195.178.117.106
sor is felesleges mivel a default gw miatt úgyis arra megy a forgalom meg egyébként is azonos alhálózat...

Nos az elképzelésem szerint a következőképpen nézne ki a háló:
a kliensek a 192.168.0.4-es gépet (ezt a gépet használják) routerként.

iface eth0 inet static
address 192.168.0.4
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255
gateway 192.168.0.254
# dns-* options are implemented by the resolvconf package, if installed
dns-nameservers 192.168.0.4
dns-search pm.local

#sulinet fele
iface eth1 inet static
address 195.178.117.101
netmask 255.255.255.248
network 195.178.117.100
broadcast 195.178.117.107
dns-nameservers 195.178.255.4 195.178.255.57
dns-search p-m.sulinet.hu

echo 1 > /proc/sys/net/ipv4/ip_forward
route add -net 195.178.255.0 netmask 255.255.255.192 gw 195.178.117.106

#a sorrend fontos!
iptables -t nat -A POSTROUTING -p tcp --dport 25 --out-interface eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -p tcp --dport amit_még_a_sulinet_fele_akarsz --out-interface eth1 -j MASQUERADE
# Amit még a sulinet felé akarsz küldeni pl. hup.hu
iptables -t nat -A POSTROUTING --destination 195.228.252.138 --out-interface eth1 -j MASQUERADE
#Aztán minden ami amúgy is a sulinet hálóban van:
iptables -t nat -A POSTROUTING --destination 195.178.255.0/26 --out-interface eth1 -j MASQUERADE
# A maradék megy a másik netre
iptables -t nat -A POSTROUTING --out-interface eth0 -j MASQUERADE

Ha ezzel megvagy traceroute (windowsban ha jól emlékszem tracert) parancsal megnézheted, hogy minden rendben működik e?
Persze egy olyan kliens gépen amiben a default gw 192.168.0.4

üdv.
nagysa

( vl v | 2010. 03. 04., cs – 15:33 )

ha csak kifelé nyíló kapcsolataid vannak, azaz nincsenek nálad szolgáltatások, akkor tudsz csinálni terheléselosztást simán.

ha van befelé nyíló kapcsolat is (pl. bejövő smtp, http, stb.), akkor vagy el kell különíteni a bejövő forgalmat a kimenőtől (a bejövő forgalmat fogadó szervernek külön ip címe kell, legyen, erre nem nat-olhatsz kimenő forgalmat, nem lehet ugyanannak a szervernek címe mindkét hálózaton, és a szervernek arra kell a default route-ját állítani, amelyik hálózatból az ip címe van), vagy policy routingot kell alkalmazni.

( pischta | 2010. 03. 05., p – 11:36 )

Köszönöm a segítségeteket. Rendberaktam a routolást, egyenőre terheléselosztás nélkül. Amit beüzemeltem router, nem felel meg a célunknak: Firmware-e a 'legfrissebb' (2 éves, de nincs újabb). Leírása szerint 256 állomást tudna kiszolgálni. Ennél kevesebb van, de nem is ezen hasal meg. A szerverekkel kapcsolatban arra panaszkodik, hogy túllépik az egy állomásnak megengedett max. kapcsolatok számát.
Ha nem sikerül normális routert vennünk/megjavíttatni a régit, azon gondolkodom, hogy freesco-t telepítek vagy egy félretett számítógépre, vagy virtuális gépre. Nem szeretném a fájlszervert használni tűzfalként. Én csak a freesco-ról hallottam, van még ilyen projekt?

Mik válasza foglalja össze azt, amit végül beállítottam, de még mindig esélyes, hogy kézzel kell összehoznom a terheléselosztást, úgyhogy az ahhoz kapcsolódó tanácsok is nagyon hasznosak. Kaptam egy csereeszközt, ami újabb firmware-rel tudna terheléselosztást, de lehet, hogy megvárom a sajátunkat, ezen nem frissítek.