19 мая 2008 г. 16:41 пользователь Artem Chuprina <[EMAIL PROTECTED]> написал:
> Sapytsky Ilya -> debian-russian@lists.debian.org @ Mon, 19 May 2008 > 13:53:47 +0400: > > >> >> Если TCP, то можно. В TCP обратный пакет идет с того же адреса, на > >> >> который пришел исходный. Дальше строго по соответствующей главе > SI> lartc. > >> >> Если почтовка стоит за DNAT, то, соответственно, натить разные > адреса > >> >> надо в разные. > >> >> > >> SI> нет, почтовка стоит за firewall, на котором 4 интерфейса для 2х > >> SI> провайдеров по 2 сетевухи. Как на это firewall это сделать - > думаю > >> > >> "Кто на ком стоял?" Конфигурацию опиши подробно. Интерфейсы и адреса > >> на почтовке и на файрволе, и соотношение их с провайдерами. Можно > >> ненастоящие, но соответствие должно быть :-) > >> > >> У тебя только что было 2 интерфейса, а уже стало 4... > > SI> ситуация такая: > SI> структура моих внешних сетей > > > SI> / mail 1.0.1.2 > SI> пров1 20.0.0.1 \ / 1.0.1.1 - ftp 1.0.1.3 > SI> firewall > SI> пров2 30.0.0.2 / \ 2.0.2.2 > SI> \ vpn 2.0.2.3 > > SI> и мне надо прикрутить к машине mail еще одну сетевуху и сделать на ней > SI> второй mx > > > SI> чтобы было так > SI> / mail 1.0.1.2 --\ > SI> пров1 20.0.0.1 \ / 1.0.1.1 - ftp 1.0.1.3 \ > SI> firewall | > SI> пров2 30.0.0.2 / \ 2.0.2.2 -------2.0.2.4-----/ > > SI> \ vpn 2.0.2.3 > > SI> нарисовал вроде как более-менее понятно... > SI> при этом надо будет настраивать пока непонятно как routing на машинках > mail > SI> и firewall соответственно, чтобы этот трафик можно было выпустить... > SI> Наверное всё это хозяйство можно как-нибудь переделать, чтобы было > более > SI> оптимально, но пока не знаю как... > > Не, еще одну сетевуху совершенно ни к чему. Достаточно еще один адрес > на ту же сетевуху. Можно в той же подсети. На почтовке по идее больше > ничего делать не надо. Она будет отвечать с того адреса, на который > пришли, а маршрут тот же самый. мне в vmware несложно еще одну сетевуху нарисовать :) ибо все интернет сервисы у меня виртуализированы. из той же подсети не надо, ибо у меня есть 2 белые сети провайдеров. Именно ради 2х разных ip из разных сетей это всё и затевалось. Судя по тому, что я вижу, у тебя, похоже, все-таки DNAT на файрволе, а > не просто маршрутизация. Разница, впрочем, невелика. Просто надо его > настроить так, чтобы он пакеты для одного из внешних адресов mx > пробрасывал на один его внутренний адрес, а для другого - на другой. > нет, у меня именно марштутизация, у меня от 2х провайдеров есть 2 белых сети на 16 адресов каждая, которые на рисунке обозначены 1.0.1.1 и далее и 2.0.2.2 и далее > > А дальше - http://lartc.org/howto/lartc.rpdb.multiple-links.html. Тебя > интересует не load balancing, а split access. Это делается на файрволе. > > В случае с NAT может быть разница во фрагменте > > ip rule add from $IP1 table T1 > ip rule add from $IP2 table T2 > > Тут может потребоваться указывать внутренние адреса почтовки, а не > внешние, поскольку, если я правильно ошибаюсь, на момент принятия > решения о роутинге обратный NAT еще не произведен. > сейчас пытаюсь это дело смоделировать на виртуалках - до самого процесса тестирования пока еще не дошел. все адреса, которые я указывал на рисунке - белые.