lonely wolf a scris:
ba stii. --ctorigdst e "ceva" din reteaua ta, care are IP-uri
cunoscute. ori ca e adresa routerului, ori a retelei din spate, adresele
sint cunoscute
citez de pe un router, care are in spate un server web "public" dar cu
IP privat (adresele publice (asignate pe router: a.b.c.d / x.y.z.t;
adresa reala a serverului web: 192.168.11.2 (cu .1 pe router):
-A PREROUTING -s 192.168.11.2 -i eth2 -m conntrack --ctorigdst a.b.c.d
-j MARK --set-mark 0x1
-A PREROUTING -s 192.168.11.2 -i eth2 -m conntrack --ctorigdst x.y.z.t
-j MARK --set-mark 0x2
ip rule add from a.b.c.d table evolva
ip ru add from x.y.z.t lookup rds
# ca sa nu mai zboare reply-urile pe ruta default
ip rule add from 192.168.11.2 fwmark 1 table evolva
ip rule add from 192.168.11.2 fwmark 2 table rds
wolfy, nu despre asta e vorba ... adica routarea in relatia provideri
<-> DMZ si chiar in relatia provideri <-> router, merge perfect (am
facut si eu tabele de routare separate si marcari)
exista un singur/ unic/ stingher ;) caz in care lucrurile nu merg cum
trebuie: cand router-ul raspunde cu un pachet generat local de el
(atentie! LOCAL), ca raspuns la un traceroute cu pachete UDP (sau ICMP
in caz de mtr sau tracert de windoze) din afara catre DMZ, atunci cand
TTL-ul este 1 ... adica atunci cand nu poate sa trimita pachetul mai
departe catre DMZ ...
probabil ca unii vor zice ca ma agit prea mult pt. un lucru atat de
minor ... in fond as putea sa sterg ruta default din tabela main si
atunci la hop ar aparea * si nici providerii n-ar mai avea nimic de comentat
dar eu vreau sa inteleg de ce se intampla chestia asta, pt. ca de-a
lungul timpului am descoperit ca (virgula) cu ip si iptables se pot face
minuni nebanuit de interesante ;), daca stii cum sa le manipulezi
_______________________________________________
RLUG mailing list
RLUG@lists.lug.ro
http://lists.lug.ro/mailman/listinfo/rlug
