* [mdk-re] Ламерский вопросец про iproute
@ 2002-04-03 19:04 Alexey Morozov
2002-04-03 22:06 ` Dmitry V. Popkov
0 siblings, 1 reply; 2+ messages in thread
From: Alexey Morozov @ 2002-04-03 19:04 UTC (permalink / raw)
To: mandrake-russian
Вопрос: может ли кто-нить быстро на пальцах объяснить, как сделать так,
чтобы подтверждение на полученный пакет уходило через тот же интерфейс,
по которому данный пакет был получен.
В машине два интерфейса, один eth0 с реальным адресом, второй eth1 с
фэйковым, оба смотрят в stateful файрволл, чтоб ему жизнь легкой была,
дифолтный рутинг кажет в фэйковую сеть.
Соответственно, когда кто-то пытается достучаться снаружи,
то подтверждения пакетов не доходят, чертов файрволл такого фокуса не
допускает. Переставить дифолт на eth0 не предлагать.
Да, я знаю, что я ленивое ламо, в свое оправдание могу сказать, что даже
слышал магические слова про source-based роутинг и все такое, даже знаю
про http://www.linuxdoc.org/HOWTO/Adv-Routing-HOWTO.html :-) но
вспоминать все эти администраторские шаманские пляски вообще-то ломово.
Может, у кого из здешней публики - администраторов найдется готовая
строчка, чтобы облегчить жизнь человеку, три с лишним года как
администрированием не занимающегося.
^ permalink raw reply [flat|nested] 2+ messages in thread
* Re: [mdk-re] Ламерский вопросец про iproute
2002-04-03 19:04 [mdk-re] Ламерский вопросец про iproute Alexey Morozov
@ 2002-04-03 22:06 ` Dmitry V. Popkov
0 siblings, 0 replies; 2+ messages in thread
From: Dmitry V. Popkov @ 2002-04-03 22:06 UTC (permalink / raw)
To: mandrake-russian
Alexey Morozov wrote:
> Вопрос: может ли кто-нить быстро на пальцах объяснить, как сделать так,
> чтобы подтверждение на полученный пакет уходило через тот же интерфейс,
> по которому данный пакет был получен.
Пару дней назад озадачился примерно тем же: запросы на
сервер приходят с двух
выделенных линий, соответственно ответы должны уходить
через тот же интерфейс,
откуда пришли, и это при том, что существует default
route еще для двух уже внутренних
подсетей.
Цитируемый дальше полностью ответ Александра Бокового
на подобный вопрос в рассылку,
выкопанный из архива, стал основой для решения.
Позже я, конечно, внимательно изучил материалы from
larc.org :), и распечатал ip-cref.ps,
но только для того, чтобы понять, что здесь сказано
все, что было нужно.
|On Sat, Jan 20, 2001 at 01:21:20AM -0500, Igor Solovyov
wrote:
|
|> Hi All!
|>
|> Очень срочно (до понедельника) нужно разрешить такую
проблему:
|>
|> Есть рутер, к нему несколько локалок прицеплено.
|> И имеются два канала в и-нет - один скоростной
(radio-ethernet),
|> второй медленный (выделенка на 115 кбит/с).
|> Нужно разделить и-нет между локалками. Т.е. часть локалок
|> идут все время через медленный канал, остальные -
через скоростной.
|>
|> Не пойму как этого можно добиться. Когда был один
канал, все было
|> просто - прописал default gateway и нет проблем. А
как сделать
|> для разных сетей разные default gateway в одном рутере?
|> Видимо никак. Может есть иные способы?
|
|
|Есть. Ставите iproute2/iputils. Затем определяете две
таблицы маршрутизации
|и добавляете правила, определяющие какую из них для
какой сети использовать.
|
|Вроде такого (номера таблиц я взял "от балды", чтоб не
пересеклись с тем, что
|там есть по умолчанию):
|
|echo "10 highspeed" >> /etc/iproute2/rt_tables
|echo "11 lowspeed" >> /etc/iproute2/rt_tables
|
|Теперь выставим маршруты в таблицах, для простоты --
только по умолчанию:
|sbin/ip route add default via ШЛЮЗ-БЫСТРОГО-КАНАЛА
table highspeed
|/sbin/ip route add default via ШЛЮЗ-МЕДЛЕННОГО-КАНАЛА
table lowspeed
|
|Теперь определим, кто куда ходит (повторить столько
раз, сколько подсетей
|входит в БЫСТРАЯ-СЕТЬ и МЕДЛЕННАЯ-СЕТЬ, каждый раз
изменяя preference -- это
|значение должно быть уникальным для каждого правила --
и, естественно, подсеть):
|/sbin/ip rule add from БЫСТРАЯ-ПОДСЕТЬ/МАСКА preference
100 table highspeed
|/sbin/ip rule add from МЕДЛЕННАЯ-ПОДСЕТЬ/МАСКА
preference 200 table lowspeed
|
|Я выбрал 100 и 200 "от балды".
|
|А теперь скажем, что все должно начать работать:
|/sbin/ip route flush cache
|
|Можно также поставить что-нибудь еще в основной (main)
таблице по умолчанию
|(например, ШЛЮЗ-БЫСТРОГО-КАНАЛА), тогда одним набором
правил будет меньше.
|Читайте ip-cref.ps из документации на iproute2 для
больших подробностей.
|-- Sincerely yours, Alexander Bokovoy The Midgard
Project | www.midgard-project.org | Aurora R&D team
|Minsk Linux Users Group | www.minsk-lug.net |
www.aurora-linux.com IPLabs Linux Team | linux.iplabs.ru
| |Architecte Open Source -- "Trust me. I know what I'm
doing." -- Sledge Hammer
--
D.V.P.
^ permalink raw reply [flat|nested] 2+ messages in thread
end of thread, other threads:[~2002-04-03 22:06 UTC | newest]
Thread overview: 2+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2002-04-03 19:04 [mdk-re] Ламерский вопросец про iproute Alexey Morozov
2002-04-03 22:06 ` Dmitry V. Popkov
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git