[sisyphus] routing - хочется невозможного?

[sisyphus] routing - хочется невозможного?

[Konstantin A. Lepikhov]

Здравствуйте!

Уже неделю ковыряю набегами такую проблему - есть сервер, на котором
крутятся несколько vserver'ов с разными ip'шниками. ip адреса - приватные,
хост система тоже имеет приватный адрес и живет в локалке. Все службы, что
предоставляют vserver'ы NAT'ятся во внешний мир с одним публичным адресом
и крутят свои службы в локалке. Собственно, вся эта схема работает и каши
не просит. Но тут появилась другая задача - есть один сервер с публичным
адресом, который тоже надо перенести в vserver. Казалось бы, проблема
несложная - втыкаем вторую сетевуху в хост-машину, кидаю кабель на
каталист, прописываю роутинг вида route add <public net> via <public
router> dev eth1 и все, дальше конфигурю vserver с параметрами реального
сервера и радуюсь жизни. Но это не работает - при поднятии alias
интерфейса на второй сетевухе для vserver, весь трафик для <public net>
который раньше спокойно шел на <intranet router>, теперь идет на вторую
сетевуху, в результате в мир уходит бред вида src <intranet net> и
наступает общий коллапс публичных сервисов. Можно ли как-то победить это
неудобство (т.е. чтобы осуществлялся роутинг через <public router> только
пакетов с/на vserver с публичым адресом, а все остальные пакеты ходили бы
на <intranet router> как обычно)?

PS хост-система - current Sisyphus.

-- 
WBR, Konstantin	      chat with ==>ICQ: 109916175
     Lepikhov,	      speak  to ==>JID: lakostis@jabber.org
aka L.A. Kostis       write  to ==>mailto:lakostis@pisem.net.nospam

...The information is like the bank... 			  (c) EC8OR

Re: [sisyphus] routing - хочется невозможного?

[Dmitry Plotnikov]

On Tue, 9 Nov 2004 00:42:13 +0300
"Konstantin A. Lepikhov" <lakostis@anti-leasure.ru> wrote:

> Здравствуйте!
> 
> Уже неделю ковыряю набегами такую проблему - есть сервер, на котором
> крутятся несколько vserver'ов с разными ip'шниками. ip адреса - приватные,
> хост система тоже имеет приватный адрес и живет в локалке. Все службы, что
> предоставляют vserver'ы NAT'ятся во внешний мир с одним публичным адресом
> и крутят свои службы в локалке. Собственно, вся эта схема работает и каши
> не просит. Но тут появилась другая задача - есть один сервер с публичным
> адресом, который тоже надо перенести в vserver. Казалось бы, проблема
> несложная - втыкаем вторую сетевуху в хост-машину, кидаю кабель на
> каталист, прописываю роутинг вида route add <public net> via <public
> router> dev eth1 и все, дальше конфигурю vserver с параметрами реального
> сервера и радуюсь жизни. Но это не работает - при поднятии alias
> интерфейса на второй сетевухе для vserver, весь трафик для <public net>
> который раньше спокойно шел на <intranet router>, теперь идет на вторую
> сетевуху, в результате в мир уходит бред вида src <intranet net> и
> наступает общий коллапс публичных сервисов. Можно ли как-то победить это
> неудобство (т.е. чтобы осуществлялся роутинг через <public router> только
> пакетов с/на vserver с публичым адресом, а все остальные пакеты ходили бы
> на <intranet router> как обычно)?

IPROOTDEV  в конигурации vserver?

А вообще сложно говорить без вывода route -n и ifconfig

---
WBR, Dmitry Plotnikov

[sisyphus] Re: routing - хочется невозможного?

[Konstantin A. Lepikhov]

Цитирую Dmitry Plotnikov <dmitry@sakhalin.ru>:

<skip>
>
> IPROOTDEV  в конигурации vserver?
>
> А вообще сложно говорить без вывода route -n и ifconfig
>
что есть сейчас на хост-системе:
[root@beehive root]# ip route ls
192.168.1.0/24 dev eth0  proto kernel  scope link  src 192.168.1.xxx
127.0.0.0/8 dev lo  scope link
default via 192.168.1.1 dev eth0

[root@beehive root]# ip link ls
1: lo: <LOOPBACK,UP> mtu 16436 qdisc noqueue
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
2: eth0: <BROADCAST,MULTICAST,NOTRAILERS,UP> mtu 1500 qdisc pfifo_fast qlen 1000
    link/ether 00:02:b3:ea:37:ce brd ff:ff:ff:ff:ff:ff
3: eth1: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen 1000
    link/ether 00:02:b3:ea:37:cf brd ff:ff:ff:ff:ff:ff

[root@beehive root]# ip addr ls
1: lo: <LOOPBACK,UP> mtu 16436 qdisc noqueue
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 brd 127.255.255.255 scope host lo
2: eth0: <BROADCAST,MULTICAST,NOTRAILERS,UP> mtu 1500 qdisc pfifo_fast qlen 1000
    link/ether 00:02:b3:ea:37:ce brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.xxx/24 brd 192.168.1.255 scope global eth0
    inet 192.168.1.xxx/24 brd 192.168.1.255 scope global secondary eth0:master22
    inet 192.168.1.xxx/24 brd 192.168.1.255 scope global secondary
eth0:trustix15
    inet 192.168.1.xxx/24 brd 192.168.1.255 scope global secondary eth0:master24
    inet 192.168.1.xxx/24 brd 192.168.1.255 scope global secondary
eth0:monster.lo
3: eth1: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast qlen 1000
    link/ether 00:02:b3:ea:37:cf brd ff:ff:ff:ff:ff:ff

на всех vserver'ах IPROOTDEV прописан eth0. Для сервера с <public ip> прописан
eth1.

если что еще нужно показать, говорите.

-- 
WBR et al.

Re: [sisyphus] routing - хочется невозможного?

[Peter V. Saveliev]

On Tuesday 09 November 2004 00:42, Konstantin A. Lepikhov wrote:
> Здравствуйте!
> 
> Уже неделю ковыряю набегами такую проблему - есть сервер, на котором
> крутятся несколько vserver'ов с разными ip'шниками. ip адреса - приватные,
> хост система тоже имеет приватный адрес и живет в локалке. Все службы, что
> предоставляют vserver'ы NAT'ятся во внешний мир с одним публичным адресом
> и крутят свои службы в локалке. Собственно, вся эта схема работает и каши
> не просит. Но тут появилась другая задача - есть один сервер с публичным
> адресом, который тоже надо перенести в vserver. Казалось бы, проблема
> несложная - втыкаем вторую сетевуху в хост-машину, кидаю кабель на
> каталист, прописываю роутинг вида route add <public net> via <public
> router> dev eth1 и все, дальше конфигурю vserver с параметрами реального
> сервера и радуюсь жизни. Но это не работает - при поднятии alias
> интерфейса на второй сетевухе для vserver, весь трафик для <public net>
> который раньше спокойно шел на <intranet router>, теперь идет на вторую
> сетевуху, в результате в мир уходит бред вида src <intranet net> и
> наступает общий коллапс публичных сервисов. Можно ли как-то победить это
> неудобство (т.е. чтобы осуществлялся роутинг через <public router> только
> пакетов с/на vserver с публичым адресом, а все остальные пакеты ходили бы
> на <intranet router> как обычно)?
> 
> PS хост-система - current Sisyphus.
> 

По мотивам

http://lartc.org/
http://www.docum.org/docum.org/kptd/

вот что получается (допустим, что:
 Х.Х.Х.Х -- адрес на eth1
 Y.Y.Y.Y -- default gw для eth1, public router
 Z.Z.Z.Z -- intranet router):

echo "200  eth1" >>/etc/iproute2/rt_tables
ip rule add from X.X.X.X table eth1
ip route add default via Y.Y.Y.Y dev eth1 table eth1
ip route add default via Z.Z.Z.Z dev eth0 table main
ip route flush cache

Ну, вроде всё, нет -- пишите...

-- 
Peter V. Saveliev

Re: [sisyphus] Re: routing - хочется невозможного?

[Dmitry Plotnikov]

Похоже единственное решение которое здесь возможно,
это применение для каждого интерфейса своей таблицы маршрутизации
как предложил Peter V. Saveliev.

---
WBR, Dmitry Plotnikov

Re: [sisyphus] Re: routing - хочется невозможного?

[Denis Ovsienko]

> Похоже единственное решение которое здесь возможно,
> это применение для каждого интерфейса своей таблицы маршрутизации
> как предложил Peter V. Saveliev.
Кстати, в случае использования net-scripts наименее варварским поступком
будет поместить ip rule/ip route в /usr/local/sbin/ifup-post-local с
небольшим case внутри.

-- 
    DO4-UANIC

[sisyphus] Re: routing - хочется невозможного?

[Konstantin A. Lepikhov]

Hi Peter!

Tuesday 09, at 08:17:51 PM you wrote:

<skip>
> По мотивам
> 
> http://lartc.org/
> http://www.docum.org/docum.org/kptd/
> 
> вот что получается (допустим, что:
>  Х.Х.Х.Х -- адрес на eth1
>  Y.Y.Y.Y -- default gw для eth1, public router
>  Z.Z.Z.Z -- intranet router):
> 
> echo "200  eth1" >>/etc/iproute2/rt_tables
> ip rule add from X.X.X.X table eth1
> ip route add default via Y.Y.Y.Y dev eth1 table eth1
> ip route add default via Z.Z.Z.Z dev eth0 table main
> ip route flush cache
> 
> Ну, вроде всё, нет -- пишите...
> 
да, так работает, спасибо. Проблему с "вытеканием" данных с src <private
addr> в eth1 решило удаление из table main маршрута вида "route <public
net> dev eth1 proto kernel scope link  src <public ip>", который как я
понял добавлял vserver start при установке ip alias'а. Возможно придется
это дело удалять либо в <vserver>.sh, либо править скрипт vserver.

-- 
WBR, Konstantin	      chat with ==>ICQ: 109916175
     Lepikhov,	      speak  to ==>JID: lakostis@jabber.org
aka L.A. Kostis       write  to ==>mailto:lakostis@pisem.net.nospam

...The information is like the bank... 			  (c) EC8OR