* [Sysadmins] Файрвол+роутинг
@ 2007-04-11 7:30 Eugene Ostapets
2007-04-11 8:28 ` Marat Khayrullin
2007-04-11 9:42 ` Alexander Volkov
0 siblings, 2 replies; 13+ messages in thread
From: Eugene Ostapets @ 2007-04-11 7:30 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Всем доброго дня!
Что-то читал, но за ненадобностью забыл...
Как у нас правильно организовать ответ сервиса по тому же интерфейсу,
с которого пришел запрос?
--
С уважением,
Евгений Остапец
uin: 23747217
jid: eugene_ostapets@jabber.ru
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] Файрвол+роутинг
2007-04-11 7:30 [Sysadmins] Файрвол+роутинг Eugene Ostapets
@ 2007-04-11 8:28 ` Marat Khayrullin
2007-04-11 8:33 ` Eugene Ostapets
2007-04-11 9:42 ` Alexander Volkov
1 sibling, 1 reply; 13+ messages in thread
From: Marat Khayrullin @ 2007-04-11 8:28 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Eugene Ostapets пишет:
> Всем доброго дня!
>
> Что-то читал, но за ненадобностью забыл...
> Как у нас правильно организовать ответ сервиса по тому же интерфейсу,
> с которого пришел запрос?
>
Сервис - это уровень приложения, а iptables - это сетевой (за
исключением модулей conntract).
Если у вас маршруты не "симметричные" в разных направлениях, тогда надо
чтобы сервис сам рулил отправкой ответов по соотв интерфейсам.
Если кто-то расскажет об других вариантах - с удовольствием просвещусь. :)
--
С уважением,
Хайруллин Марат.
http://xmm.moikrug.ru/
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] Файрвол+роутинг
2007-04-11 8:28 ` Marat Khayrullin
@ 2007-04-11 8:33 ` Eugene Ostapets
2007-04-11 8:53 ` Serge Polkovnikov
2007-04-11 9:37 ` Marat Khayrullin
0 siblings, 2 replies; 13+ messages in thread
From: Eugene Ostapets @ 2007-04-11 8:33 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
11.04.07, Marat Khayrullin<xmm rambler.ru> написал(а):
> Eugene Ostapets пишет:
> > Всем доброго дня!
> >
> > Что-то читал, но за ненадобностью забыл...
> > Как у нас правильно организовать ответ сервиса по тому же интерфейсу,
> > с которого пришел запрос?
> >
>
> Сервис - это уровень приложения, а iptables - это сетевой (за
> исключением модулей conntract).
Приложение без сетевого уровня ничто:)
> Если у вас маршруты не "симметричные" в разных направлениях, тогда надо
> чтобы сервис сам рулил отправкой ответов по соотв интерфейсам.
Любое приложение так и делает, но потом в дело вступает сетевой
уровень и отправляет пакет по правилам маршрутизации...
> Если кто-то расскажет об других вариантах - с удовольствием просвещусь. :)
Помню что делалось это через несколько таблиц маршрутизации, но не
могу найти внятную статью именно по решению данной проблемы с адресом
человека, которого можно будет подоставать глупыми вопросами:)
--
С уважением,
Евгений Остапец
uin: 23747217
jid: eugene_ostapets@jabber.ru
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] Файрвол+роутинг
2007-04-11 8:33 ` Eugene Ostapets
@ 2007-04-11 8:53 ` Serge Polkovnikov
2007-04-11 10:05 ` Eugene Ostapets
2007-04-11 9:37 ` Marat Khayrullin
1 sibling, 1 reply; 13+ messages in thread
From: Serge Polkovnikov @ 2007-04-11 8:53 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Wednesday 11 April 2007 11:33:42 Eugene Ostapets написав:
> Помню что делалось это через несколько таблиц
> маршрутизации, но не могу найти внятную статью именно по
> решению данной проблемы
Руками делается примерно так:
echo "1 prov1" >> /etc/iproute2/rt_tables
echo "2 prov2" >> /etc/iproute2/rt_tables
ip rule add from prov1_ip_pool table prov1
ip rule add from prov2_ip_pool table prov2
ip route add 0/0 via prov1_router table prov1
ip route add 0/0 via prov2_router table prov2
ip route flush cache
где
provN_ip_pool - маска ip адресов которые вам выделил
соответствующий провайдер,
provN_router - адрес маршрутизатора соответствующего
провайдера
Как это сделать в етцнет я не знаю - не пробывал
--
С уважением,
Сергей Полковников
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] Файрвол+роутинг
2007-04-11 8:33 ` Eugene Ostapets
2007-04-11 8:53 ` Serge Polkovnikov
@ 2007-04-11 9:37 ` Marat Khayrullin
1 sibling, 0 replies; 13+ messages in thread
From: Marat Khayrullin @ 2007-04-11 9:37 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Eugene Ostapets пишет:
> Любое приложение так и делает, но потом в дело вступает сетевой
> уровень и отправляет пакет по правилам маршрутизации...
>
>> Если кто-то расскажет об других вариантах - с удовольствием просвещусь. :)
> Помню что делалось это через несколько таблиц маршрутизации, но не
> ...
В ответе сервиса содержится только адрес получателя (клиента), но нет
информации с какого интерфейса пришел запрос. Так что все ухищирения с
несколькоми таблицами поставленный вопрос не решат.
--
С уважением,
Хайруллин Марат.
http://xmm.moikrug.ru/
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] Файрвол+роутинг
2007-04-11 7:30 [Sysadmins] Файрвол+роутинг Eugene Ostapets
2007-04-11 8:28 ` Marat Khayrullin
@ 2007-04-11 9:42 ` Alexander Volkov
2007-04-11 10:07 ` Eugene Ostapets
1 sibling, 1 reply; 13+ messages in thread
From: Alexander Volkov @ 2007-04-11 9:42 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
On 2007-04-11 10:30:03 +0300, Eugene Ostapets wrote:
EO> Всем доброго дня!
EO> Что-то читал, но за ненадобностью забыл...
EO> Как у нас правильно организовать ответ сервиса по тому же интерфейсу,
EO> с которого пришел запрос?
У нас - имеется в виду сейчас и на etcnet?
Про последний не скажу, а на 2.4 у меня до сих пор скрипт работает для 3
провайдеров.
--
Regards, Alexander
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] Файрвол+роутинг
2007-04-11 8:53 ` Serge Polkovnikov
@ 2007-04-11 10:05 ` Eugene Ostapets
2007-04-11 10:15 ` Dmitriy L. Kruglikov
0 siblings, 1 reply; 13+ messages in thread
From: Eugene Ostapets @ 2007-04-11 10:05 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
2007/4/11, Serge Polkovnikov <serge ukr-fin.com.ua>:
> Wednesday 11 April 2007 11:33:42 Eugene Ostapets написав:
> > Помню что делалось это через несколько таблиц
> > маршрутизации, но не могу найти внятную статью именно по
> > решению данной проблемы
>
> Руками делается примерно так:
> echo "1 prov1" >> /etc/iproute2/rt_tables
> echo "2 prov2" >> /etc/iproute2/rt_tables
>
>
> ip rule add from prov1_ip_pool table prov1
> ip rule add from prov2_ip_pool table prov2
>
> ip route add 0/0 via prov1_router table prov1
> ip route add 0/0 via prov2_router table prov2
>
> ip route flush cache
>
> где
> provN_ip_pool - маска ip адресов которые вам выделил
> соответствующий провайдер,
> provN_router - адрес маршрутизатора соответствующего
> провайдера
Ага:)
>
> Как это сделать в етцнет я не знаю - не пробывал
Ну это я уже сделаю как-нибудь:)
--
С уважением,
Евгений Остапец
uin: 23747217
jid: eugene_ostapets@jabber.ru
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] Файрвол+роутинг
2007-04-11 9:42 ` Alexander Volkov
@ 2007-04-11 10:07 ` Eugene Ostapets
2007-04-11 10:14 ` Alexander Volkov
0 siblings, 1 reply; 13+ messages in thread
From: Eugene Ostapets @ 2007-04-11 10:07 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
11.04.07, Alexander Volkov<alt vladregion.ru> написал(а):
> On 2007-04-11 10:30:03 +0300, Eugene Ostapets wrote:
> EO> Всем доброго дня!
>
> EO> Что-то читал, но за ненадобностью забыл...
> EO> Как у нас правильно организовать ответ сервиса по тому же интерфейсу,
> EO> с которого пришел запрос?
> У нас - имеется в виду сейчас и на etcnet?
Не обязательно, с etcnet я уже как-нибудь сам разберусь:)
> Про последний не скажу, а на 2.4 у меня до сих пор скрипт работает для 3
> провайдеров.
Можно на него взглянуть?
--
С уважением,
Евгений Остапец
uin: 23747217
jid: eugene_ostapets@jabber.ru
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] Файрвол+роутинг
2007-04-11 10:07 ` Eugene Ostapets
@ 2007-04-11 10:14 ` Alexander Volkov
2007-04-11 12:15 ` Marat Khayrullin
0 siblings, 1 reply; 13+ messages in thread
From: Alexander Volkov @ 2007-04-11 10:14 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
On 2007-04-11 13:07:36 +0300, Eugene Ostapets wrote:
EO> 11.04.07, Alexander Volkov<alt vladregion.ru> написал(а):
EO> > On 2007-04-11 10:30:03 +0300, Eugene Ostapets wrote:
EO> > EO> Всем доброго дня!
EO> >
EO> > EO> Что-то читал, но за ненадобностью забыл...
EO> > EO> Как у нас правильно организовать ответ сервиса по тому же интерфейсу,
EO> > EO> с которого пришел запрос?
EO> > У нас - имеется в виду сейчас и на etcnet?
EO> Не обязательно, с etcnet я уже как-нибудь сам разберусь:)
EO> > Про последний не скажу, а на 2.4 у меня до сих пор скрипт работает для 3
EO> > провайдеров.
EO> Можно на него взглянуть?
зАпросто. Это rc.local. ip кое-как поменял
P1="8.13.8.118"
P2="8.49.89.97"
P3="8.5.199.1"
P0_NET="192.168.2.0/25"
P03_NET="192.168.3.0/27"
P1_NET="8.13.8.116/30"
P2_NET="8.49.89.96/27"
P3_NET="8.5.199.0/24"
IF0="eth0"
IF1="eth1"
IF2="eth2"
IF3="eth3"
IP1="89.113.8.117"
IP2="85.249.89.102"
IP3="84.53.199.236"
ip route add $P1_NET dev $IF1 src $IP1 table link1
ip route add default via $P1 table link1
ip route add $P2_NET dev $IF2 src $IP2 table link2
ip route add default via $P2 table link2
ip route add $P3_NET dev $IF3 src $IP3 table link3
ip route add default via $P3 table link3
ip route add 127.0.0.0/8 dev lo table link1
ip route add $P0_NET dev $IF0 table link1
ip route add $P03_NET dev $IF0 table link1
ip route add $P2_NET dev $IF2 table link1
ip route add $P3_NET dev $IF3 table link1
ip route add 127.0.0.0/8 dev lo table link2
ip route add $P0_NET dev $IF0 table link2
ip route add $P03_NET dev $IF0 table link2
ip route add $P1_NET dev $IF1 table link2
ip route add $P3_NET dev $IF3 table link2
ip route add 127.0.0.0/8 dev lo table link3
ip route add $P0_NET dev $IF0 table link3
ip route add $P03_NET dev $IF0 table link3
ip route add $P2_NET dev $IF2 table link3
ip route add $P1_NET dev $IF1 table link3
ip route add default via $P1
ip rule add from $IP1 table link1
ip rule add from $IP2 table link2
ip rule add from $IP3 table link3
--
Regards, Alexander
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] Файрвол+роутинг
2007-04-11 10:05 ` Eugene Ostapets
@ 2007-04-11 10:15 ` Dmitriy L. Kruglikov
2007-04-11 10:20 ` Alexander Volkov
2007-04-11 12:18 ` Евгений Терешков
0 siblings, 2 replies; 13+ messages in thread
From: Dmitriy L. Kruglikov @ 2007-04-11 10:15 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
На календаре было: Среда, 11 Апрель 2007 года,
Eugene Ostapets писал(а) в сообщении:
EO == Eugene Ostapets
EO> > Как это сделать в етцнет я не знаю - не пробывал
EO> Ну это я уже сделаю как-нибудь:)
Не сочти за труд, поделись потом...
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov_at_gmail_dot_com |@_@ |
DKR6-RIPE |!_/ |
XMPP:dkr6@jabber.ru // \ \
(| | )
/'\_ _/`\
Powered by Linux \___)=(___/
-- Мысль --
Волшебная мама Аладдина исполняет любые 3 желания
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] Файрвол+роутинг
2007-04-11 10:15 ` Dmitriy L. Kruglikov
@ 2007-04-11 10:20 ` Alexander Volkov
2007-04-11 12:18 ` Евгений Терешков
1 sibling, 0 replies; 13+ messages in thread
From: Alexander Volkov @ 2007-04-11 10:20 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
On 2007-04-11 13:15:54 +0300, Dmitriy L. Kruglikov wrote:
LK> Не сочти за труд, поделись потом...
потОм :)
--
Regards, Alexander
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] Файрвол+роутинг
2007-04-11 10:14 ` Alexander Volkov
@ 2007-04-11 12:15 ` Marat Khayrullin
0 siblings, 0 replies; 13+ messages in thread
From: Marat Khayrullin @ 2007-04-11 12:15 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Alexander Volkov пишет:
> On 2007-04-11 13:07:36 +0300, Eugene Ostapets wrote:
> EO> 11.04.07, Alexander Volkov<alt vladregion.ru> написал(а):
> EO> > On 2007-04-11 10:30:03 +0300, Eugene Ostapets wrote:
> EO> > EO> Всем доброго дня!
> EO> >
> EO> > EO> Что-то читал, но за ненадобностью забыл...
> EO> > EO> Как у нас правильно организовать ответ сервиса по тому же интерфейсу,
> EO> > EO> с которого пришел запрос?
> EO> > У нас - имеется в виду сейчас и на etcnet?
> EO> Не обязательно, с etcnet я уже как-нибудь сам разберусь:)
> EO> > Про последний не скажу, а на 2.4 у меня до сих пор скрипт работает для 3
> EO> > провайдеров.
> EO> Можно на него взглянуть?
> зАпросто. Это rc.local. ip кое-как поменял
>
> P1="8.13.8.118"
> P2="8.49.89.97"
> P3="8.5.199.1"
> P0_NET="192.168.2.0/25"
> P03_NET="192.168.3.0/27"
> P1_NET="8.13.8.116/30"
> P2_NET="8.49.89.96/27"
> P3_NET="8.5.199.0/24"
> IF0="eth0"
> IF1="eth1"
> IF2="eth2"
> IF3="eth3"
> IP1="89.113.8.117"
> IP2="85.249.89.102"
> IP3="84.53.199.236"
>
> ip route add $P1_NET dev $IF1 src $IP1 table link1
> ip route add default via $P1 table link1
> ip route add $P2_NET dev $IF2 src $IP2 table link2
> ip route add default via $P2 table link2
> ip route add $P3_NET dev $IF3 src $IP3 table link3
> ip route add default via $P3 table link3
> ip route add 127.0.0.0/8 dev lo table link1
> ip route add $P0_NET dev $IF0 table link1
> ip route add $P03_NET dev $IF0 table link1
> ip route add $P2_NET dev $IF2 table link1
> ip route add $P3_NET dev $IF3 table link1
> ip route add 127.0.0.0/8 dev lo table link2
> ip route add $P0_NET dev $IF0 table link2
> ip route add $P03_NET dev $IF0 table link2
> ip route add $P1_NET dev $IF1 table link2
> ip route add $P3_NET dev $IF3 table link2
> ip route add 127.0.0.0/8 dev lo table link3
> ip route add $P0_NET dev $IF0 table link3
> ip route add $P03_NET dev $IF0 table link3
> ip route add $P2_NET dev $IF2 table link3
> ip route add $P1_NET dev $IF1 table link3
> ip route add default via $P1
> ip rule add from $IP1 table link1
> ip rule add from $IP2 table link2
> ip rule add from $IP3 table link3
>
Интересно, это сработает даже в случае, когда запрос пришел от клиента
из инета (не из $Pn_NET), а сервис слушает 0.0.0.0, а не каждый
интерфейс (как bind). accept наверняка привяжет сокет к нужному
интерфесу, а там сработает своя таблица.
Хотя у себя на шлюзах я не запускаю сервисы, кроме bind - эта штука
может когда-нибудь пригодиться. Всегда есть чему поучиться. :)
--
С уважением,
Хайруллин Марат.
http://xmm.moikrug.ru/
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [Sysadmins] Файрвол+роутинг
2007-04-11 10:15 ` Dmitriy L. Kruglikov
2007-04-11 10:20 ` Alexander Volkov
@ 2007-04-11 12:18 ` Евгений Терешков
1 sibling, 0 replies; 13+ messages in thread
From: Евгений Терешков @ 2007-04-11 12:18 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
"Dmitriy L. Kruglikov" пишет:
> EO> > Как это сделать в етцнет я не знаю - не пробывал
> EO> Ну это я уже сделаю как-нибудь:)
> Не сочти за труд, поделись потом...
А чем там делиться то? Примерно так:
> echo "1 prov1" >> /etc/iproute2/rt_tables
> echo "2 prov2" >> /etc/iproute2/rt_tables
сделать ручками.
> add from prov1_ip_pool table prov1
и
> add from prov2_ip_pool table prov2
записать в ipv4rule для соответствующего интерфейса.
> 0/0 via prov1_router table prov1
и
> 0/0 via prov2_router table prov2
записать в ipv4route также для соответствующего интерфейса.
Вроде всё.
--
С уважением, Терешков Евгений.
^ permalink raw reply [flat|nested] 13+ messages in thread
end of thread, other threads:[~2007-04-11 12:18 UTC | newest]
Thread overview: 13+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2007-04-11 7:30 [Sysadmins] Файрвол+роутинг Eugene Ostapets
2007-04-11 8:28 ` Marat Khayrullin
2007-04-11 8:33 ` Eugene Ostapets
2007-04-11 8:53 ` Serge Polkovnikov
2007-04-11 10:05 ` Eugene Ostapets
2007-04-11 10:15 ` Dmitriy L. Kruglikov
2007-04-11 10:20 ` Alexander Volkov
2007-04-11 12:18 ` Евгений Терешков
2007-04-11 9:37 ` Marat Khayrullin
2007-04-11 9:42 ` Alexander Volkov
2007-04-11 10:07 ` Eugene Ostapets
2007-04-11 10:14 ` Alexander Volkov
2007-04-11 12:15 ` Marat Khayrullin
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git