* [sisyphus] routing - хочется невозможного?
@ 2004-11-08 21:42 Konstantin A. Lepikhov
2004-11-09 0:40 ` Dmitry Plotnikov
2004-11-09 17:17 ` [sisyphus] " Peter V. Saveliev
0 siblings, 2 replies; 7+ messages in thread
From: Konstantin A. Lepikhov @ 2004-11-08 21:42 UTC (permalink / raw)
To: ALT Linux Community Mailing List; +Cc: ALT Linux Sisyphus List
Здравствуйте!
Уже неделю ковыряю набегами такую проблему - есть сервер, на котором
крутятся несколько vserver'ов с разными ip'шниками. ip адреса - приватные,
хост система тоже имеет приватный адрес и живет в локалке. Все службы, что
предоставляют vserver'ы NAT'ятся во внешний мир с одним публичным адресом
и крутят свои службы в локалке. Собственно, вся эта схема работает и каши
не просит. Но тут появилась другая задача - есть один сервер с публичным
адресом, который тоже надо перенести в vserver. Казалось бы, проблема
несложная - втыкаем вторую сетевуху в хост-машину, кидаю кабель на
каталист, прописываю роутинг вида route add <public net> via <public
router> dev eth1 и все, дальше конфигурю vserver с параметрами реального
сервера и радуюсь жизни. Но это не работает - при поднятии alias
интерфейса на второй сетевухе для vserver, весь трафик для <public net>
который раньше спокойно шел на <intranet router>, теперь идет на вторую
сетевуху, в результате в мир уходит бред вида src <intranet net> и
наступает общий коллапс публичных сервисов. Можно ли как-то победить это
неудобство (т.е. чтобы осуществлялся роутинг через <public router> только
пакетов с/на vserver с публичым адресом, а все остальные пакеты ходили бы
на <intranet router> как обычно)?
PS хост-система - current Sisyphus.
--
WBR, Konstantin chat with ==>ICQ: 109916175
Lepikhov, speak to ==>JID: lakostis@jabber.org
aka L.A. Kostis write to ==>mailto:lakostis@pisem.net.nospam
...The information is like the bank... (c) EC8OR
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [sisyphus] routing - хочется невозможного?
2004-11-08 21:42 [sisyphus] routing - хочется невозможного? Konstantin A. Lepikhov
@ 2004-11-09 0:40 ` Dmitry Plotnikov
2004-11-09 10:07 ` [sisyphus] " Konstantin A. Lepikhov
2004-11-09 17:17 ` [sisyphus] " Peter V. Saveliev
1 sibling, 1 reply; 7+ messages in thread
From: Dmitry Plotnikov @ 2004-11-09 0:40 UTC (permalink / raw)
To: ALT Linux Sisyphus discussion list
On Tue, 9 Nov 2004 00:42:13 +0300
"Konstantin A. Lepikhov" <lakostis@anti-leasure.ru> wrote:
> Здравствуйте!
>
> Уже неделю ковыряю набегами такую проблему - есть сервер, на котором
> крутятся несколько vserver'ов с разными ip'шниками. ip адреса - приватные,
> хост система тоже имеет приватный адрес и живет в локалке. Все службы, что
> предоставляют vserver'ы NAT'ятся во внешний мир с одним публичным адресом
> и крутят свои службы в локалке. Собственно, вся эта схема работает и каши
> не просит. Но тут появилась другая задача - есть один сервер с публичным
> адресом, который тоже надо перенести в vserver. Казалось бы, проблема
> несложная - втыкаем вторую сетевуху в хост-машину, кидаю кабель на
> каталист, прописываю роутинг вида route add <public net> via <public
> router> dev eth1 и все, дальше конфигурю vserver с параметрами реального
> сервера и радуюсь жизни. Но это не работает - при поднятии alias
> интерфейса на второй сетевухе для vserver, весь трафик для <public net>
> который раньше спокойно шел на <intranet router>, теперь идет на вторую
> сетевуху, в результате в мир уходит бред вида src <intranet net> и
> наступает общий коллапс публичных сервисов. Можно ли как-то победить это
> неудобство (т.е. чтобы осуществлялся роутинг через <public router> только
> пакетов с/на vserver с публичым адресом, а все остальные пакеты ходили бы
> на <intranet router> как обычно)?
IPROOTDEV в конигурации vserver?
А вообще сложно говорить без вывода route -n и ifconfig
---
WBR, Dmitry Plotnikov
^ permalink raw reply [flat|nested] 7+ messages in thread
* [sisyphus] Re: routing - хочется невозможного?
2004-11-09 0:40 ` Dmitry Plotnikov
@ 2004-11-09 10:07 ` Konstantin A. Lepikhov
2004-11-10 0:14 ` Dmitry Plotnikov
0 siblings, 1 reply; 7+ messages in thread
From: Konstantin A. Lepikhov @ 2004-11-09 10:07 UTC (permalink / raw)
To: ALT Linux Sisyphus discussion list
Цитирую Dmitry Plotnikov <dmitry@sakhalin.ru>:
<skip>
>
> IPROOTDEV в конигурации vserver?
>
> А вообще сложно говорить без вывода route -n и ifconfig
>
что есть сейчас на хост-системе:
[root@beehive root]# ip route ls
192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.xxx
127.0.0.0/8 dev lo scope link
default via 192.168.1.1 dev eth0
[root@beehive root]# ip link ls
1: lo: <LOOPBACK,UP> mtu 16436 qdisc noqueue
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: eth0: <BROADCAST,MULTICAST,NOTRAILERS,UP> mtu 1500 qdisc pfifo_fast qlen 1000
link/ether 00:02:b3:ea:37:ce brd ff:ff:ff:ff:ff:ff
3: eth1: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen 1000
link/ether 00:02:b3:ea:37:cf brd ff:ff:ff:ff:ff:ff
[root@beehive root]# ip addr ls
1: lo: <LOOPBACK,UP> mtu 16436 qdisc noqueue
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 brd 127.255.255.255 scope host lo
2: eth0: <BROADCAST,MULTICAST,NOTRAILERS,UP> mtu 1500 qdisc pfifo_fast qlen 1000
link/ether 00:02:b3:ea:37:ce brd ff:ff:ff:ff:ff:ff
inet 192.168.1.xxx/24 brd 192.168.1.255 scope global eth0
inet 192.168.1.xxx/24 brd 192.168.1.255 scope global secondary eth0:master22
inet 192.168.1.xxx/24 brd 192.168.1.255 scope global secondary
eth0:trustix15
inet 192.168.1.xxx/24 brd 192.168.1.255 scope global secondary eth0:master24
inet 192.168.1.xxx/24 brd 192.168.1.255 scope global secondary
eth0:monster.lo
3: eth1: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen 1000
link/ether 00:02:b3:ea:37:cf brd ff:ff:ff:ff:ff:ff
на всех vserver'ах IPROOTDEV прописан eth0. Для сервера с <public ip> прописан
eth1.
если что еще нужно показать, говорите.
--
WBR et al.
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [sisyphus] routing - хочется невозможного?
2004-11-08 21:42 [sisyphus] routing - хочется невозможного? Konstantin A. Lepikhov
2004-11-09 0:40 ` Dmitry Plotnikov
@ 2004-11-09 17:17 ` Peter V. Saveliev
2004-11-10 17:35 ` [sisyphus] " Konstantin A. Lepikhov
1 sibling, 1 reply; 7+ messages in thread
From: Peter V. Saveliev @ 2004-11-09 17:17 UTC (permalink / raw)
To: ALT Linux Sisyphus List
On Tuesday 09 November 2004 00:42, Konstantin A. Lepikhov wrote:
> Здравствуйте!
>
> Уже неделю ковыряю набегами такую проблему - есть сервер, на котором
> крутятся несколько vserver'ов с разными ip'шниками. ip адреса - приватные,
> хост система тоже имеет приватный адрес и живет в локалке. Все службы, что
> предоставляют vserver'ы NAT'ятся во внешний мир с одним публичным адресом
> и крутят свои службы в локалке. Собственно, вся эта схема работает и каши
> не просит. Но тут появилась другая задача - есть один сервер с публичным
> адресом, который тоже надо перенести в vserver. Казалось бы, проблема
> несложная - втыкаем вторую сетевуху в хост-машину, кидаю кабель на
> каталист, прописываю роутинг вида route add <public net> via <public
> router> dev eth1 и все, дальше конфигурю vserver с параметрами реального
> сервера и радуюсь жизни. Но это не работает - при поднятии alias
> интерфейса на второй сетевухе для vserver, весь трафик для <public net>
> который раньше спокойно шел на <intranet router>, теперь идет на вторую
> сетевуху, в результате в мир уходит бред вида src <intranet net> и
> наступает общий коллапс публичных сервисов. Можно ли как-то победить это
> неудобство (т.е. чтобы осуществлялся роутинг через <public router> только
> пакетов с/на vserver с публичым адресом, а все остальные пакеты ходили бы
> на <intranet router> как обычно)?
>
> PS хост-система - current Sisyphus.
>
По мотивам
http://lartc.org/
http://www.docum.org/docum.org/kptd/
вот что получается (допустим, что:
Х.Х.Х.Х -- адрес на eth1
Y.Y.Y.Y -- default gw для eth1, public router
Z.Z.Z.Z -- intranet router):
echo "200 eth1" >>/etc/iproute2/rt_tables
ip rule add from X.X.X.X table eth1
ip route add default via Y.Y.Y.Y dev eth1 table eth1
ip route add default via Z.Z.Z.Z dev eth0 table main
ip route flush cache
Ну, вроде всё, нет -- пишите...
--
Peter V. Saveliev
^ permalink raw reply [flat|nested] 7+ messages in thread
* [sisyphus] Re: routing - хочется невозможного?
2004-11-09 17:17 ` [sisyphus] " Peter V. Saveliev
@ 2004-11-10 17:35 ` Konstantin A. Lepikhov
0 siblings, 0 replies; 7+ messages in thread
From: Konstantin A. Lepikhov @ 2004-11-10 17:35 UTC (permalink / raw)
To: ALT Linux Sisyphus discussion list
Hi Peter!
Tuesday 09, at 08:17:51 PM you wrote:
<skip>
> По мотивам
>
> http://lartc.org/
> http://www.docum.org/docum.org/kptd/
>
> вот что получается (допустим, что:
> Х.Х.Х.Х -- адрес на eth1
> Y.Y.Y.Y -- default gw для eth1, public router
> Z.Z.Z.Z -- intranet router):
>
> echo "200 eth1" >>/etc/iproute2/rt_tables
> ip rule add from X.X.X.X table eth1
> ip route add default via Y.Y.Y.Y dev eth1 table eth1
> ip route add default via Z.Z.Z.Z dev eth0 table main
> ip route flush cache
>
> Ну, вроде всё, нет -- пишите...
>
да, так работает, спасибо. Проблему с "вытеканием" данных с src <private
addr> в eth1 решило удаление из table main маршрута вида "route <public
net> dev eth1 proto kernel scope link src <public ip>", который как я
понял добавлял vserver start при установке ip alias'а. Возможно придется
это дело удалять либо в <vserver>.sh, либо править скрипт vserver.
--
WBR, Konstantin chat with ==>ICQ: 109916175
Lepikhov, speak to ==>JID: lakostis@jabber.org
aka L.A. Kostis write to ==>mailto:lakostis@pisem.net.nospam
...The information is like the bank... (c) EC8OR
^ permalink raw reply [flat|nested] 7+ messages in thread
end of thread, other threads:[~2004-11-10 17:35 UTC | newest]
Thread overview: 7+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2004-11-08 21:42 [sisyphus] routing - хочется невозможного? Konstantin A. Lepikhov
2004-11-09 0:40 ` Dmitry Plotnikov
2004-11-09 10:07 ` [sisyphus] " Konstantin A. Lepikhov
2004-11-10 0:14 ` Dmitry Plotnikov
2004-11-10 7:15 ` Denis Ovsienko
2004-11-09 17:17 ` [sisyphus] " Peter V. Saveliev
2004-11-10 17:35 ` [sisyphus] " Konstantin A. Lepikhov
ALT Linux Sisyphus discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \
sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru
public-inbox-index sisyphus
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sisyphus
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git