Здравей,поведението което описваш като "много странно" всъщност си е съвсем нормално. Както ти самия каза, в routing table имаш default route. Той винаги сочи единият или другият доставчик. Няма значенеи от къде идва трафика - дали от доставчик 1 или от доставчик 2. Докато използваш една основна рутинг таблица, там можеш да имаш само един 0.0.0.0/0 (default gw). Например: Имаш ип 1 от доставчик А, и IP 2 от доставчик Б. Когато дойде заявка към ip 1, заявката се рутира/маршрутизира през мрежата на доставчик А и така тя стига до теб. След това, твоят рутер/linux box сам взима решение за това, от къде да върне отговор на пакета/заявката. Това се случва през default gw-a. Ситуацията може да бъде и по разлина разбира се ако използваш маршрутизиращ протокол (BGP) но се съмнявам, че твоят случай е такъв. На този етап, това което можеш да направиш е да маркираш пакетите, и онова което е дошло от единият доставчик да бъде "оцветено" с едни цвят, а трафикът от другия доставчик с друг. След това, на базата на този "цвят"/mark, можеш да посочиш на пакета коя "routing" таблица да използва. Идеята е следната: имаш 2 рутинг таблици - една за единия доставчик, и втора за втория. Всичко което дойде от ISP1 поглежда main routing table където имаш default gw от доставчик 1, и втора routing таблица за трафикът дошъл от доставчик Б, където имаш за Default gw ip-то на доставчик Б. Разгледай листата, съвсем скоро пусках подобен пример.
Hope it helps ;-) Svetlin Nakov wrote:
Здравейте,В офиса имам 2 доставчика на Интернет. И двата ми дават реални IP адреси. Направил съм си port forward от външните IP адреси към няколко вътрешни ресурси, към които ми трябва достъп от Интернет (порт 9024 и порт 9025).Сега имам следния проблем: Като дам за default gateway единия доставчик, имаме Интернет в офиса (по първия канал), но от Интернет работи само неговото IP (другото отговаря на ping, но не пренася портовете към вътрешните сървъри). Като дам за default gateway другия доставчик (втория канал), пак имаме Интернет в офиса (по втория канал), но от Интернет работи само второто IP.Не мога да накарам услугите на порт 9024 и порт 9025 да са достъпни и от двата реални IP адреса едновременно.Разследвах какво става с iptraf и tcpdump и установих, че на пакетите, които идват по втория канал (който не е default gateway) им се отговаря по първия канал. Много странно поведение. Вероятно не правя коректно port forwarding настройките.Прилагам настройките, които ползвам:------------------------------------------------------------------------------------------------------------[EMAIL PROTECTED] root]# ifconfigeth0 Link encap:Ethernet HWaddr 00:30:84:75:1F:FDinet addr:192.168.0.2 Bcast:192.168.0.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:49070 errors:0 dropped:0 overruns:0 frame:0 TX packets:62062 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:12892792 (12.2 Mb) TX bytes:53829268 (51.3 Mb) Interrupt:12 Base address:0xf000eth1 Link encap:Ethernet HWaddr 00:30:84:75:1F:CDinet addr:192.168.2.2 Bcast:192.168.2.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:140103 errors:0 dropped:0 overruns:0 frame:0 TX packets:172704 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:17077690 (16.2 Mb) TX bytes:122130851 (116.4 Mb) Interrupt:10 Base address:0x1000eth2 Link encap:Ethernet HWaddr 00:08:A1:7F:1C:F4inet addr:192.168.1.2 Bcast:192.168.1.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:262 errors:0 dropped:0 overruns:0 frame:0 TX packets:179 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:25975 (25.3 Kb) TX bytes:10758 (10.5 Kb) Interrupt:11 Base address:0x3000eth3 Link encap:Ethernet HWaddr 00:30:84:75:18:63inet addr:192.168.6.2 Bcast:192.168.6.255 Mask:255.255.255.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:237430 errors:0 dropped:0 overruns:0 frame:0 TX packets:184918 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:181251546 (172.8 Mb) TX bytes:29625412 (28.2 Mb) Interrupt:12 Base address:0x5000lo Link encap:Local Loopbackinet addr:127.0.0.1 Mask:255.0.0.0 UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:581 errors:0 dropped:0 overruns:0 frame:0 TX packets:581 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:71486 (69.8 Kb) TX bytes:71486 (69.8 Kb)tun0 Link encap:Point-to-Point Protocolinet addr:192.168.3.1 P-t-P:192.168.3.2 Mask:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 RX packets:220 errors:0 dropped:0 overruns:0 frame:0 TX packets:174 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 RX bytes:19580 (19.1 Kb) TX bytes:31911 (31.1 Kb)------------------------------------------------------------------------------------------------------------[EMAIL PROTECTED] root]# route Kernel IP routing tableDestination Gateway Genmask Flags Metric Ref Use Iface192.168.3.2 * 255.255.255.255 UH 0 0 0 tun0192.168.6.0 * 255.255.255.0 U 0 0 0 eth3192.168.3.0 192.168.3.2 255.255.255.0 UG 0 0 0 tun0192.168.2.0 * 255.255.255.0 U 0 0 0 eth1192.168.1.0 * 255.255.255.0 U 0 0 0 eth2192.168.0.0 * 255.255.255.0 U 0 0 0 eth0127.0.0.0 * 255.0.0.0 U 0 0 0 lodefault 192.168.6.1 0.0.0.0 UG 0 0 0 eth3------------------------------------------------------------------------------------------------------------[EMAIL PROTECTED] root]# cat /etc/sysconfig/iptables# Generated by iptables-save v1.2.7a on Tue Feb 3 18:59:36 2004 *nat :PREROUTING ACCEPT [3826028:450721308] :POSTROUTING ACCEPT [489166:30731077] :OUTPUT ACCEPT [501461:32049378]# DEV port forward-A PREROUTING -i eth2 -p tcp -m tcp --dport 9024 -j DNAT --to 192.168.0.24:443-A PREROUTING -i eth3 -p tcp -m tcp --dport 9024 -j DNAT --to 192.168.0.24:443# PROJECT port forward-A PREROUTING -i eth2 -p tcp -m tcp --dport 9025 -j DNAT --to 192.168.0.25:443-A PREROUTING -i eth3 -p tcp -m tcp --dport 9025 -j DNAT --to 192.168.0.25:443-A POSTROUTING -j MASQUERADE -s 192.168.0.0/24 -A POSTROUTING -j MASQUERADE -s 192.168.2.0/24 -A POSTROUTING -j MASQUERADE -s 192.168.3.0/24 -A POSTROUTING -j MASQUERADE -s 192.168.6.0/24 COMMIT# Completed on Tue Feb 3 18:59:36 2004 # Generated by iptables-save v1.2.7a on Tue Feb 3 18:59:36 2004*mangle :PREROUTING ACCEPT [36497804:22370690460] :INPUT ACCEPT [10012719:4687680109] :FORWARD ACCEPT [26410023:17675681338] :OUTPUT ACCEPT [10461124:5342939882] :POSTROUTING ACCEPT [36825304:23005473811] COMMIT# Completed on Tue Feb 3 18:59:36 2004 # Generated by iptables-save v1.2.7a on Tue Feb 3 18:59:36 2004 *filter :INPUT ACCEPT [10647040:4805420467] :FORWARD ACCEPT [26911698:17913658231] :OUTPUT ACCEPT [10530480:5353253885]# DEV port forward -A FORWARD -p tcp -i eth0 -d 192.168.0.24 --dport 443 -j ACCEPT# PROJECT port forward -A FORWARD -p tcp -i eth0 -d 192.168.0.25 --dport 443 -j ACCEPT# Filter NET2 to NET0 traffic-A FORWARD -s 192.168.2.0/24 -d 192.168.0.24/32 -p tcp --dport 443 -j ACCEPT-A FORWARD -s 192.168.2.0/24 -d 192.168.0.0/24 -j DROPCOMMIT------------------------------------------------------------------------------------------------------------Някой има ли идея къде бъркам?*Svetlin Nakov* Director Training and Consulting Activities National Academy for Software Development http://academy.devbg.org ------------------------------------------------------------------------ _______________________________________________ Lug-bg mailing list [email protected] http://linux-bulgaria.org/mailman/listinfo/lug-bg
-- Danail Petrov Sr. Network Administrator Evolink, Sofia Phone: +359(2)9691650 http://www.evolink.com
smime.p7s
Description: S/MIME Cryptographic Signature
_______________________________________________ Lug-bg mailing list [email protected] http://linux-bulgaria.org/mailman/listinfo/lug-bg
