Re: [Sysadmins] Два канала в интернет

ALT Linux sysadmins discussion
 help / color / mirror / Atom feed

From: Afanasov Dmitry <ender@atrus.ru>
To: sysadmins@lists.altlinux.org
Subject: Re: [Sysadmins] Два канала в интернет
Date: Thu, 2 Nov 2006 14:25:56 +0300
Message-ID: <20061102112556.GD10887@ender.nbrkomi.ru> (raw)
In-Reply-To: <454886DF.9080705@mec.tgl.ru>

[-- Attachment #1: Type: text/plain, Size: 2133 bytes --]

On Wed, Nov 01, 2006 at 03:37:03PM +0400, Yuri V. Anikin wrote:
> 32758:  from 195.209.85.33 lookup MCN
> 32759:  from 85.112.43.86 lookup VGT
> 32760:  from 195.209.85.33 lookup MCN
> 32761:  from 85.112.43.86 lookup VGT
зачем столько копий? ядрышко остановится на первом совпадении, а дальше не
пойдет.

> default via 195.209.85.34 dev eth1
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
откуда бы не пришёл пакет, ответ идет всегда через eth1. а следовательно,
если у нас SNAT, то ответ пойдет с другого ip, а значит обрыв соединения


> 5) Iptables настроен на NAT и forwarding 80 порта в DMZ-сеть 192.168.0.0
вот у меня именно этого оказалось мало, пришлось отдельно указывать
netfilter, что если пакет пришёл с другого интерфейса, отвечать по нему
же.

для входящий подключений это выглядело так:

iptables -t mangle -A INPUT -i eth1 -j CONNMARK --set-mark 0x200  
// используется именно CONNMARK, а не MARK, так как после проглатывания
// подключения ядром, весь sk_buf с MARK усрет, и для INPUT
// сгененирируется новый пакет, с пустым MARK.
// CONNMARK же ставиться на подкюлчение и хранится независимо

iptables -t mangle -A OUTPUT -m connmark --mark 0x200 -j MARK --set-mark
0x200
// а вот здесь уже проставляется именно netfilter mark на освное инфы из
// connection tracking
// цепочка именно OUTPUT, так как в POSTROUTING вычесление маршрута и
// исходящего eth уже будет произведено


ip rule add pref 10000 fwmark 0x200 table PASSIVEETH

ip route add table PASSIVEETH add default via <что там надо>


для сквозных пакетов работать надо с цепочкой FORWARD: на -i eth1 ставить
CONNMARK, на -i eth2 ставить условие -m connmark --mark

> 6) Ядро  2.4.20-alt12-up
должно и тут работать

> В /var/log/kernel/warnings сыпятся сообщения файрвола о "марсианских 
> источниках". Соображения?
а вот про это сообразить не могу.
сообщаения о марсионцах валятся, если обратный маршрут (проверка
включается/выключается через rc_filter) не совпадает с входящим
интерфейсом. в принципе логично: пришло по eth1, ответ идет по eth0.
типичный марсианин :)
-- 
 С уважением
 Афанасов Дмитрий

[-- Attachment #2: Digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

     prev parent reply	other threads:[~2006-11-02 11:25 UTC|newest]

Thread overview: 14+ messages / expand[flat|nested]  mbox.gz  Atom feed  top
2006-11-01 11:37 Yuri V. Anikin
2006-11-02  3:13 ` Evgenii Terechkov
2006-11-02 10:41   ` Yuri V. Anikin
2006-11-02 10:51     ` Michael Shigorin
2006-11-02 11:04     ` Evgenii Terechkov
2006-11-02 11:25       ` Denis Ognewsky
2006-11-02 12:14     ` ender
2006-11-02 12:35       ` Denis Ognewsky
2006-11-02  7:59 ` Sergey
2006-11-02 10:51   ` Yuri V. Anikin
2006-11-03  7:34     ` Sergey
2006-11-02 10:52   ` Michael Shigorin
2006-11-03  7:45     ` Sergey
2006-11-02 11:25 ` Afanasov Dmitry [this message]

Reply instructions:

You may reply publicly to this message via plain-text email
using any one of the following methods:

* Save the following mbox file, import it into your mail client,
  and reply-to-all from there: mbox

  Avoid top-posting and favor interleaved quoting:
  https://en.wikipedia.org/wiki/Posting_style#Interleaved_style

* Reply using the --to, --cc, and --in-reply-to
  switches of git-send-email(1):

  git send-email \
    --in-reply-to=20061102112556.GD10887@ender.nbrkomi.ru \
    --to=ender@atrus.ru \
    --cc=sysadmins@lists.altlinux.org \
    /path/to/YOUR_REPLY

  https://kernel.org/pub/software/scm/git/docs/git-send-email.html

* If your mail client supports setting the In-Reply-To header
  via mailto: links, try the mailto: link

ALT Linux sysadmins discussion

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
		sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
	public-inbox-index sysadmins

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.sysadmins


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git