14.12.2011 21:19, Alexander пишет:
Отвечу одним письмом всем.
Вы меня простите за мой французский...
"Колеса... Насосы..." (С)
Какая-то солянка сборная. :(
Если у Вас все провы дали по одному IP,
то зачем было начинать с кваги и того, что один из них
отваливается...
По сути - ни квага, ни прочее в данном случае проблему не решит.
Только statefull firewall. Проще всего это IMHO сделать на PF
используя опции tag/tagged и reply-to. Т.е. по приходу пакета на
входящем интерфейсе помечаете его тегом, создаете стейт, а потом на
интерфейсе в локалку создаете еще один стейт с использованием reply-to.
Обратные пакеты будут возвращаться назад через эти два стейта и уходить
через правильный интерфейс. Для локально терминируемых tcp сессий тоже
примерно так же. В инете примеры есть.
Как на ipfw не в курсе, давно не пользуюсь.
Да я бы и не беспокоился, если бы тот же ssh нормально воспринимал
ситуацию, когда ответы приходят от несколько другого адреса, нежели
куда их посылали... :(
Это заблуждение. Все несколько проще. Нормальный провайдер никогда
не позволит клиентам слать через себя трафик с чужих IP, если речь идет
именно об end-user с одним или несколькими IP из собственного блока
провайдера.
К сожалению, не все за этим следят... хотя всего-то нужно включить RPF
на клиентских интерфейсах...
Да меня больше ssh входящий снаружи волнует... Не знаю, почему, но
иногда возникает ситуация, когда коннект приходит с UA-IX, а уходит
через мир. В итоге ssh-клиент отваливается по таймауту, хотя я вижу
ответ на коннект. Приходится заходить на ящик через третьи сервера.
Никто не гарантирует симметричности хождения трафика. Конечно,
ассиметрия не очень гуд, но что делать. Кто-то не принял чьи-то анонсы,
у кого-то баг в BGP и анонсы залипли. А еще есть "продвинутые" клиенты,
у который своя AS, блок PI, но NAT-ятся в пиринговые IP, выданные
провами. И потом долго возмущаются, почему при возникновении асимметрии,
все перестает работать... (сорри, наболело).
--
Sincerely yours,
Artyom Viklenko.
-------------------------------------------------------
[email protected] | http://www.aws-net.org.ua/~artem
[email protected] | ================================
FreeBSD: The Power to Serve - http://www.freebsd.org
