Gelpi Andrea wrote:
Salve,
nell'ottica di garantire la continuità dei servizi come avevo
fatto in passato ho aggiunto un secondo ISP e sto tentando di far
funzionare una linux box con default gateway multipli.
Ciao, se ho capito, sei "solo" affacciato su più reti e non sei un
autonomous system che annuncia in BGP la raggiungibilità attraverso
diversi provider.
Poichè esiste la DMZ ci sono dei servizi che sono su server con IP
privati raggiungibili mediante apposite regole di source nat impostate
tramite iptables. Tali regole permettono il NAT solo per i servizi che
sono esposti e solo dalle/alle reti desiderate.
Hai configurato regole diverse per le due reti ?
[Internet] <-> Router1 <-> Rete1 <-> LinuxBox <-> DmzService1
[Internet] <-> Router2 <-> Rete2 <-> LinuxBox <-> DmzService1
I pacchetti in arrivo dall'esterno vengono ruotati correttamente verso
la DMZ e correttamente tornano indietro (i source nat e destination
nat funzionano come desiderato).
Sembrerebbe di si..
Purtroppo però questi pacchetti utilizzano sempre e comunque un solo
default gateway, non seguono cioè ciò che sta scritto nella varie
routing table.
Qui ti ho perso...se tutto funziona le rules e tables di iproute sono ok...
Qualcuno ha esperienza di come indagare il perchè o quale sia la
strada migliore per risolvere?
Ho cercato su google e trovo sempre soluzioni analoghe a quella già
trovata su lartc o sue varianti, tutte presentano lo stesso problema.
Mettiti nei panni dei pacchetti: "sciocchi ma molto veloci" devono
sapere dove andare con indicazioni chiare:
- gli IP con sorgente Rete1 devono uscire dall'interfaccia del Router1
- gli IP con sorgente Rete2 devono uscire dall'interfaccia del Router2
- gli IP con destinazioni Rete1 o Rete2 sarebbe sensato venissero
routate localmente
- gli IP con destinazioni diverse da Rete1 o Rete2 li gestisci come
meglio credi
(Intendo dove hai dei vincoli legati agli IP)
[.. o Autonomous System con BGP annunciato su più reti e puoi passare
qua o la ]
Se il tuo "problema" è ridondare puoi:
- giocare con i DNS, tenendo bassi i TTL (per determinare una
ragionevole interruzione di servizio cambiando la config on the fly)
- giocare con round-robin facendo "doppie regole" (ftp -> Srv1.Rete1 e
Srv1.Rete2) cosa (a volte) sconsigliabile per DNS e WWW dato che si
rischia il 50% di risposte negative
- configurare doppi quei servizi che prevedono da protocollo la
ridondanza smtp: mx10 mx20
Per il resto se ho capito correttamente non hai ulteriori config da fare
sulle reti.. (rischi solo di fare spoofing e di non veder tornare i
pacchetti...)
Ciao
Nick
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
