On Thursday 02 October 2008 02:01:41 Svetlin Nakov wrote: > Мисля, че ме насочи в правилната посока. Намерих една статия по въпроса: > http://linux-ip.net/html/adv-multi-internet.html.
Да, ако трябва да прекарвам определени портове през различните доставчици бих ползвал iptables. Между другото доколкото помня nat-a на iproute от 10.4 не работи с ядрата над 2.2 опитай все пак ;) > > Пичовете имат точно нашия проблем: 2 Интернет доставчика и искат да рутират > HTTP и HTTPS трафика към вътрешна машина от локалната им мрежа. > > Изглежда разбираемо и ще го пробвам в близките дни. > > Поздрави, > Наков > > -----Original Message----- > From: [EMAIL PROTECTED] > [mailto:[EMAIL PROTECTED] On Behalf Of Dragomir Zhelev > Sent: Wednesday, October 01, 2008 9:29 PM > To: Linux Users Group - Bulgaria > Subject: Re: [Lug-bg] Problem s iptables > > Здравей, > > това е съвсем нормално защото доставчика който ти е и default gw не > пропуска > > src IP адреса на другия ти доставчик. Освен с маркиране задачката може да > се > > реши и с ip rules ето ти и един пример : > > ip ru add from <IP_ISP2> table 100 > ip r a default via <ISP2_GW> t 100 > > където ISP2 ти е доставчика които не е default gw. > > > Надявам се да съм бил ясен. > > Поздрави. > > On Tuesday 30 September 2008 19:42:15 Svetlin Nakov wrote: > > Здравейте, > > > > > > > > В офиса имам 2 доставчика на Интернет. И двата ми дават реални IP адреси. > > Направил съм си port forward от външните IP адреси към няколко вътрешни > > ресурси, към които ми трябва достъп от Интернет (порт 9024 и порт 9025). > > > > > > > > Сега имам следния проблем: Като дам за default gateway единия доставчик, > > имаме Интернет в офиса (по първия канал), но от Интернет работи само > > неговото IP (другото отговаря на ping, но не пренася портовете към > > вътрешните сървъри). Като дам за default gateway другия доставчик (втория > > канал), пак имаме Интернет в офиса (по втория канал), но от Интернет > > работи > > > само второто IP. > > > > > > > > Не мога да накарам услугите на порт 9024 и порт 9025 да са достъпни и от > > двата реални IP адреса едновременно. > > > > > > > > Разследвах какво става с iptraf и tcpdump и установих, че на пакетите, > > които идват по втория канал (който не е default gateway) им се отговаря > > по първия канал. Много странно поведение. Вероятно не правя коректно port > > forwarding настройките. > > > > > > > > Прилагам настройките, които ползвам: > > --------------------------------------------------------------------------- > > >- -------------------------------- > > > > > > > > [EMAIL PROTECTED] root]# ifconfig > > > > eth0 Link encap:Ethernet HWaddr 00:30:84:75:1F:FD > > > > inet addr:192.168.0.2 Bcast:192.168.0.255 Mask:255.255.255.0 > > > > UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 > > > > RX packets:49070 errors:0 dropped:0 overruns:0 frame:0 > > > > TX packets:62062 errors:0 dropped:0 overruns:0 carrier:0 > > > > collisions:0 txqueuelen:100 > > > > RX bytes:12892792 (12.2 Mb) TX bytes:53829268 (51.3 Mb) > > > > Interrupt:12 Base address:0xf000 > > > > > > > > eth1 Link encap:Ethernet HWaddr 00:30:84:75:1F:CD > > > > inet addr:192.168.2.2 Bcast:192.168.2.255 Mask:255.255.255.0 > > > > UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 > > > > RX packets:140103 errors:0 dropped:0 overruns:0 frame:0 > > > > TX packets:172704 errors:0 dropped:0 overruns:0 carrier:0 > > > > collisions:0 txqueuelen:100 > > > > RX bytes:17077690 (16.2 Mb) TX bytes:122130851 (116.4 Mb) > > > > Interrupt:10 Base address:0x1000 > > > > > > > > eth2 Link encap:Ethernet HWaddr 00:08:A1:7F:1C:F4 > > > > inet addr:192.168.1.2 Bcast:192.168.1.255 Mask:255.255.255.0 > > > > UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 > > > > RX packets:262 errors:0 dropped:0 overruns:0 frame:0 > > > > TX packets:179 errors:0 dropped:0 overruns:0 carrier:0 > > > > collisions:0 txqueuelen:100 > > > > RX bytes:25975 (25.3 Kb) TX bytes:10758 (10.5 Kb) > > > > Interrupt:11 Base address:0x3000 > > > > > > > > eth3 Link encap:Ethernet HWaddr 00:30:84:75:18:63 > > > > inet addr:192.168.6.2 Bcast:192.168.6.255 Mask:255.255.255.0 > > > > UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 > > > > RX packets:237430 errors:0 dropped:0 overruns:0 frame:0 > > > > TX packets:184918 errors:0 dropped:0 overruns:0 carrier:0 > > > > collisions:0 txqueuelen:100 > > > > RX bytes:181251546 (172.8 Mb) TX bytes:29625412 (28.2 Mb) > > > > Interrupt:12 Base address:0x5000 > > > > > > > > lo Link encap:Local Loopback > > > > inet addr:127.0.0.1 Mask:255.0.0.0 > > > > UP LOOPBACK RUNNING MTU:16436 Metric:1 > > > > RX packets:581 errors:0 dropped:0 overruns:0 frame:0 > > > > TX packets:581 errors:0 dropped:0 overruns:0 carrier:0 > > > > collisions:0 txqueuelen:0 > > > > RX bytes:71486 (69.8 Kb) TX bytes:71486 (69.8 Kb) > > > > > > > > tun0 Link encap:Point-to-Point Protocol > > > > inet addr:192.168.3.1 P-t-P:192.168.3.2 Mask:255.255.255.255 > > > > UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 > > > > RX packets:220 errors:0 dropped:0 overruns:0 frame:0 > > > > TX packets:174 errors:0 dropped:0 overruns:0 carrier:0 > > > > collisions:0 txqueuelen:100 > > > > RX bytes:19580 (19.1 Kb) TX bytes:31911 (31.1 Kb) > > --------------------------------------------------------------------------- > > >- -------------------------------- > > > > > > > > [EMAIL PROTECTED] root]# route > > > > Kernel IP routing table > > > > Destination Gateway Genmask Flags Metric Ref Use > > Iface > > > > 192.168.3.2 * 255.255.255.255 UH 0 0 0 > > tun0 > > > > 192.168.6.0 * 255.255.255.0 U 0 0 0 > > eth3 > > > > 192.168.3.0 192.168.3.2 255.255.255.0 UG 0 0 0 > > tun0 > > > > 192.168.2.0 * 255.255.255.0 U 0 0 0 > > eth1 > > > > 192.168.1.0 * 255.255.255.0 U 0 0 0 > > eth2 > > > > 192.168.0.0 * 255.255.255.0 U 0 0 0 > > eth0 > > > > 127.0.0.0 * 255.0.0.0 U 0 0 0 > > lo > > > > default 192.168.6.1 0.0.0.0 UG 0 0 0 > > eth3 > > --------------------------------------------------------------------------- > > >- -------------------------------- > > > > > > > > [EMAIL PROTECTED] root]# cat /etc/sysconfig/iptables > > > > > > > > # Generated by iptables-save v1.2.7a on Tue Feb 3 18:59:36 2004 > > > > *nat > > > > :PREROUTING ACCEPT [3826028:450721308] > > : > > :POSTROUTING ACCEPT [489166:30731077] > > : > > :OUTPUT ACCEPT [501461:32049378] > > > > # DEV port forward > > > > -A PREROUTING -i eth2 -p tcp -m tcp --dport 9024 -j DNAT --to > > 192.168.0.24:443 > > > > -A PREROUTING -i eth3 -p tcp -m tcp --dport 9024 -j DNAT --to > > 192.168.0.24:443 > > > > > > > > # PROJECT port forward > > > > -A PREROUTING -i eth2 -p tcp -m tcp --dport 9025 -j DNAT --to > > 192.168.0.25:443 > > > > -A PREROUTING -i eth3 -p tcp -m tcp --dport 9025 -j DNAT --to > > 192.168.0.25:443 > > > > > > > > -A POSTROUTING -j MASQUERADE -s 192.168.0.0/24 > > > > -A POSTROUTING -j MASQUERADE -s 192.168.2.0/24 > > > > -A POSTROUTING -j MASQUERADE -s 192.168.3.0/24 > > > > -A POSTROUTING -j MASQUERADE -s 192.168.6.0/24 > > > > COMMIT > > > > > > > > # Completed on Tue Feb 3 18:59:36 2004 > > > > # Generated by iptables-save v1.2.7a on Tue Feb 3 18:59:36 2004 > > > > > > > > *mangle > > > > :PREROUTING ACCEPT [36497804:22370690460] > > : > > :INPUT ACCEPT [10012719:4687680109] > > : > > :FORWARD ACCEPT [26410023:17675681338] > > : > > :OUTPUT ACCEPT [10461124:5342939882] > > : > > :POSTROUTING ACCEPT [36825304:23005473811] > > > > COMMIT > > > > > > > > # Completed on Tue Feb 3 18:59:36 2004 > > > > # Generated by iptables-save v1.2.7a on Tue Feb 3 18:59:36 2004 > > > > *filter > > > > :INPUT ACCEPT [10647040:4805420467] > > : > > :FORWARD ACCEPT [26911698:17913658231] > > : > > :OUTPUT ACCEPT [10530480:5353253885] > > > > # DEV port forward > > > > -A FORWARD -p tcp -i eth0 -d 192.168.0.24 --dport 443 -j ACCEPT > > > > > > > > # PROJECT port forward > > > > -A FORWARD -p tcp -i eth0 -d 192.168.0.25 --dport 443 -j ACCEPT > > > > > > > > # Filter NET2 to NET0 traffic > > > > -A FORWARD -s 192.168.2.0/24 -d 192.168.0.24/32 -p tcp --dport 443 -j > > ACCEPT > > > > -A FORWARD -s 192.168.2.0/24 -d 192.168.0.0/24 -j DROP > > > > > > > > COMMIT > > --------------------------------------------------------------------------- > > >- -------------------------------- > > > > > > > > Някой има ли идея къде бъркам? > > > > > > > > Svetlin Nakov > > > > Director Training and Consulting Activities > > > > National Academy for Software Development > > > > http://academy.devbg.org > > _______________________________________________ > Lug-bg mailing list > [email protected] > http://linux-bulgaria.org/mailman/listinfo/lug-bg
signature.asc
Description: This is a digitally signed message part.
_______________________________________________ Lug-bg mailing list [email protected] http://linux-bulgaria.org/mailman/listinfo/lug-bg
