Re: port forward с 2 внешних интерфейсов
Dmitry Fedoseev -> debian-russian@lists.debian.org @ Thu, 12 May 2005 16:52:16 +0600: >> > Настройка DNAT - дело нехитрое. Непонятно вот что - если клиен >> > т "входит" >> > со стороны провайдера2, то как направить ответный трафик через >> > этого же >> > провайдера2, а не по дефолтному маршруту? >> >> Маркировать пакеты на интерфейсе с помощью iptables -j MARK и >> разруливать с помощью ip route (разные таблицы роутинга для разных >> интерфейсов). Advanced Routing HowTо, кажется, называется документ, >> в котором подобная ситуация хорошо описана. DF> Документ хорош, спору нет. Но... DF> Приходящим от провайдера1 SYN делаем --set-mark 1 DF> Приходящим от провайдера2 SYN делаем --set-mark 2 DF> Оба SYN попали на целевой хост и он дважды ответил ACK. Если ACK будут DF> иметь маркеры, соответствующие своим SYN, то разрулить эти ACK на DF> маршрутизаторе - не проблема. DF> Но если маркеры не сохраняются, то на основании чего их можно DF> восстановить? DF> Чтение lartc прямого ответа не дало. Плохо читал? Видимо. Роутить надо на основании исходящего адреса. А его DNAT выставит правильно - соответственно тому, на который входили. Иначе сессия не установится. -- Artem Chuprina RFC2822: Jabber: [EMAIL PROTECTED] НИИ требуются: 1. Кто бы мог подумать. Кнышев. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
RE: port forward с 2 внешних интерфейсов
Ð ÐÑÐ, 12/05/2005 Ð 13:33 +0400, ÐÐÑÐÐ ÐÐÐÑÑÐÐ ÑÑ ÐÐÑÐÑ: > > ÐÐÑÑÑ DNAT - ÐÐÑÐÑÑÐÐ. ÐÑÑÐÐ > > ÐÐÑ ÑÑÐ - ÐÑÐÐ Ð > > Ñ "ÐÑÐÐÐÑ" > > ÑÐ ÑÑÐÑÐÐÑ ÐÑÐÐÑÐ2, ÑÐ ÐÐÐ ÐÐÐÑÐÐÐÑÑ > > ÐÑÐÐÑÐÑÐ ÑÑÐÑÐÐ ÑÐÑÐÐ > > ÑÑÐÐÐ ÐÐ > > ÐÑÐÐÑÐ2, Ð ÐÐ ÐÐ ÐÐÑÐÐÑÐÐÐÑ ÐÐÑÑ? > > ÐÐÑÐÐÑÐÐÐÑÑ ÑÑ ÐÐ ÐÐÑÐÑÑÐÐÑÐ Ñ > ÑÑÑ iptables -j MARK Ð ÑÐÐÑÑÑÑ Ñ ÑÑÑ > ip route (ÑÐÐÐÑÐ ÑÑÑ ÑÐÑÑ ÐÐÑ ÑÐÐÐÑÑ > ÐÐÑÐÑÑÐÐÑÐÐ). > Advanced Routing HowTÐ, ÑÑÑ, ÐÐÐÑÐÐÐÑÑÑ > ÐÐÐÑÐÐÐÑ, Ð ÐÐÑÐÑÐÐ ÐÐÐÑ ÑÐÑÑÐÑÐÑ > ÑÐÑÐÑÐ ÐÐÐÑÐÐÐ. ÐÐÐÑÐÐÐÑ ÑÐÑÐÑ, ÑÐÐÑÑ ÐÐÑ. ÐÐ... ÐÑÐÑÐÐÑÑÐÐ ÐÑ ÐÑÐÐÑÐ1 SYN ÐÐ --set-mark 1 ÐÑÐÑÐÐÑÑÐÐ ÐÑ ÐÑÐÐÑÐ2 SYN ÐÐ --set-mark 2 ÐÐÐ SYN ÐÐ ÐÐ ÑÐÐ ÑÐÑÑ Ð ÐÐ ÐÑ ÐÑÐÐÑÐÐ ACK. ÐÑÐÐ ACK ÐÑÐÑÑ ÐÐÐÑÑ ÐÐÑÐÐÑÑ, ÑÐÐÑÐÐÑÑÑÐÑÑÑÐÐ Ñ SYN, ÑÐ ÑÐÐÑÑÐÐÑÑ ÑÑÐ ACK ÐÐ ÐÐÑÐÐÐÑÐÑÐ - ÐÐ ÐÑÐÐ. ÐÐ ÐÑÐÐ ÐÐÑÐÐÑÑ ÐÐ ÑÐÑÑÐÐÑ, ÑÐ ÐÐ ÐÑÐÐÐ ÑÐÐÐ ÐÑ Ð ÐÐÑÑÑÐÑÑ? ÐÑ lartc ÐÑÑ ÐÑÐÐÑÐ ÐÐ . ÐÐÐÑÐ ÑÐÑÐÐ? -- Dmitry Fedoseev <[EMAIL PROTECTED]>
Re: port forward с 2 внешних интерфейсов
Dmitry Fedoseev -> debian-russian@lists.debian.org @ Thu, 12 May 2005 15:04:04 +0600: DF> Здравствуйте! DF> Задача типовая - обеспечить доступ к некому tcp-порту на хосте во DF> "внутренней" сети хостам из "внешней" сети. Нетиповое обстоятельство - DF> во "внешнюю" сеть смотрят 2 интерфейса, и port forward нужен для каждого DF> из них. Внешние линки идут к разным провайдерам, маршрут по дефолту DF> через провайдера1. DF> Настройка DNAT - дело нехитрое. Непонятно вот что - если клиент "входит" DF> со стороны провайдера2, то как направить ответный трафик через этого же DF> провайдера2, а не по дефолтному маршруту? http://lartc.org -- Artem Chuprina RFC2822: Jabber: [EMAIL PROTECTED] Все гениальное просто. Но со вкусом. Кнышев. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
RE: port forward с 2 внешних интерфейсов
> ÐÐÑÑÑ DNAT - ÐÐÑÐÑÑÐÐ. ÐÑÑÐÐ > ÐÐÑ ÑÑÐ - ÐÑÐÐ Ð > Ñ "ÐÑÐÐÐÑ" > ÑÐ ÑÑÐÑÐÐÑ ÐÑÐÐÑÐ2, ÑÐ ÐÐÐ ÐÐÐÑÐÐÐÑÑ > ÐÑÐÐÑÐÑÐ ÑÑÐÑÐÐ ÑÐÑÐÐ > ÑÑÐÐÐ ÐÐ > ÐÑÐÐÑÐ2, Ð ÐÐ ÐÐ ÐÐÑÐÐÑÐÐÐÑ ÐÐÑÑ? ÐÐÑÐÐÑÐÐÐÑÑ ÑÑ ÐÐ ÐÐÑÐÑÑÐÐÑÐ Ñ ÑÑÑ iptables -j MARK Ð ÑÐÐÑÑÑÑ Ñ ÑÑÑ ip route (ÑÐÐÐÑÐ ÑÑÑ ÑÐÑÑ ÐÐÑ ÑÐÐÐÑÑ ÐÐÑÐÑÑÐÐÑÐÐ). Advanced Routing HowTÐ, ÑÑÑ, ÐÐÐÑÐÐÐÑÑÑ ÐÐÐÑÐÐÐÑ, Ð ÐÐÑÐÑÐÐ ÐÐÐÑ ÑÐÑÑÐÑÐÑ ÑÐÑÐÑÐ ÐÐÐÑÐÐÐ.
