Jump to content

BGP + NAT

anderson_alchevsk
 Share

Recommended Posts

anderson_alchevsk

anderson_alchevsk

Posted
Posted

Добрый день!

Прошу вашей помощи.

Есть сервер с quagga на два аплинка со своим PI блоком, он же занимается маршрутизацией.

До появления второго аплинка натилось так:

-A POSTROUTING -s 10.2.0.0/21 -o eth0.(uplink1) -j SNAT --to-source XXX.XXX.XXX.1

-A POSTROUTING -s 10.2.8.0/21 -o eth0.(uplink1) -j SNAT --to-source XXX.XXX.XXX.2

и т.д.

 

После подключения второго провайдера пытался добавить дублирующие правила:

-A POSTROUTING -s 10.2.0.0/21 -o eth0.(uplink2) -j SNAT --to-source XXX.XXX.XXX.1

-A POSTROUTING -s 10.2.8.0/21 -o eth0.(uplink2) -j SNAT --to-source XXX.XXX.XXX.2

и т.д.

 

Вроде работает, но сомневаюсь что это правильное решение, не знаю как себя поведет когда запрос идет через один аплинк, а ответ приходит со второго.

 

И еще есть проброс портов во внутреннюю сеть, например:

-A PREROUTING -p tcp -m tcp --dport ХХХ -j DNAT --to-destination ХХХ.ХХХ.ХХХ.100

так вот это правило с двумя аплинками не работает. Подскажите пожалуйста как это исправить.

 

Заранее вам очень благодарен

bos9

bos9

Posted
Posted

нуу как вариант - второй апстрим фильтрует нужный вам порт (хотя такое сейчас уже редкость), попробуйте тоже правило с другим dst port.

Ilya Evseev

Ilya Evseev

Posted
Posted

не знаю как себя поведет когда запрос идет через один аплинк, а ответ приходит со второго.

Следите, чтобы rp_filter в sysctl был выключен.

В некоторых дистрибутивах он по умолчанию включен.

 

есть проброс портов во внутреннюю сеть, например:

-A PREROUTING -p tcp -m tcp --dport ХХХ -j DNAT --to-destination ХХХ.ХХХ.ХХХ.100

так вот это правило с двумя аплинками не работает. Подскажите пожалуйста как это исправить.

1) Хорошо бы добавить сюда "-d ВнешнийIPадрес".

2) Правило в FORWARD есть? Если да, то как выглядит?

3) Что показывает tcpdump на внешнем и внутреннем интерфейсах?

4) Что показывают счётчики правил iptables?

anderson_alchevsk

anderson_alchevsk

Posted
  • Author
Posted

не знаю как себя поведет когда запрос идет через один аплинк, а ответ приходит со второго.

Следите, чтобы rp_filter в sysctl был выключен.

В некоторых дистрибутивах он по умолчанию включен.

 

есть проброс портов во внутреннюю сеть, например:

-A PREROUTING -p tcp -m tcp --dport ХХХ -j DNAT --to-destination ХХХ.ХХХ.ХХХ.100

так вот это правило с двумя аплинками не работает. Подскажите пожалуйста как это исправить.

1) Хорошо бы добавить сюда "-d ВнешнийIPадрес".

2) Правило в FORWARD есть? Если да, то как выглядит?

3) Что показывает tcpdump на внешнем и внутреннем интерфейсах?

4) Что показывают счётчики правил iptables?

за rp_filter спасибо честно говоря про него и не подумал

 

1) не совсем понятно зачем.

2)

#eth1 - внутренняя сеть

-A FORWARD -s xxx.my.pi.0/27 -i eth1 -o eth0.(uplink1) -j ACCEPT

-A FORWARD -d xxx.my.pi.0/27 -i eth0.(uplink1) -o eth1 -j ACCEPT

-A FORWARD -s xxx.my.pi.0/27 -i eth1 -o eth0.(uplink2) -j ACCEPT

-A FORWARD -d xxx.my.pi.0/27 -i eth0.(uplink2) -o eth1 -j ACCEPT

 

3)...

4)...

сейчас не могу сказать, надо будет ночью посмотреть

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.