LINUX.ORG.RU

История изменений

Исправление Pinkbyte, (текущая версия) :

https://collection.51sec.org/2013/09/ip-source-routing-enabled-and-how-to.html

Красивого способа проверки нет, но source routing - это жуткая дыра, потому что контролировать кому его можно, а кому нет - нельзя. Контроль по-интерфейсно - это не смешно.

Я бы на твоем месте понарожал кучу таблиц маршрутизации в центре и привязал бы их к разным меткам.

например:

ip rule add fwmark 1 table 1
ip route add default via <next_hop_filial_1>
ip rule add fwmark 2 table 2
ip route add default via <next_hop_filial_2>
... и т.д.

Потом поправил файрвол соответствующим образом(чтобы ответные пакеты корректно доходили).

А потом просто тестил бы через ping с центра: 

ping -m 1 8.8.8.8
ping -m 2 4.4.4.4

Соответственно первый пакет уйдет через шлюз первого филиала, второй - через шлюз второго.

Если филиалы связаны с центром нормальными туннелям(не чистым IPSec-ом, GRE+IPSEC или IPSec с VTI), то за исключением разрешения трафика со стороны центра через филиальный интернет никаких особых манипуляций проводить на шлюзах в филиале не надо.

Исправление Pinkbyte, :

https://collection.51sec.org/2013/09/ip-source-routing-enabled-and-how-to.html

Красивого способа проверки нет, но source routing - это жуткая дыра, потому что контролировать кому его можно, а кому нет - нельзя. Контроль по-интерфейсно - это не смешно.

Я бы на твоем месте понарожал кучу таблиц маршрутизации в центре и привязал бы их к разным меткам.

например:

ip rule add fwmark 1 table 1
ip route add default via <next_hop_filial_1>
ip rule add fwmark 2 table 2
ip route add default via <next_hop_filial_2>
... и т.д.

Потом поправил файрвол соответствующим образом(чтобы ответные пакеты корректно доходили).

А потом просто тестил бы через ping с головного филиала: 

ping -m 1 8.8.8.8
ping -m 2 4.4.4.4

Соответственно первый пакет уйдет через шлюз первого филиала, второй - через шлюз второго.

Если филиалы связаны с центром нормальными туннелям(не чистым IPSec-ом, GRE+IPSEC или IPSec с VTI), то за исключением разрешения трафика со стороны центра через филиальный интернет никаких особых манипуляций проводить на шлюзах в филиале не надо.

Исходная версия Pinkbyte, :

https://collection.51sec.org/2013/09/ip-source-routing-enabled-and-how-to.html

Красивого способа проверки нет, но source routing - это жуткая дыра, потому что контролировать кому его можно, а кому нет - нельзя. Контроль по-интерфейсно - это не смешно.

Я бы на твоем месте понарожал кучу таблиц маршрутизации в головном филиале и привязал бы их к разным меткам.

например:

ip rule add fwmark 1 table 1
ip route add default via <next_hop_filial_1>
ip rule add fwmark 2 table 2
ip route add default via <next_hop_filial_2>
... и т.д.

Потом поправил файрвол соответствующим образом(чтобы ответные пакеты корректно доходили).

А потом просто тестил бы через ping с головного филиала: 

ping -m 1 8.8.8.8
ping -m 2 4.4.4.4

Соответственно первый пакет уйдет через шлюз первого филиала, второй - через шлюз второго.

Если филиалы связаны с центром нормальными туннелям(не чистым IPSec-ом, GRE+IPSEC или IPSec с VTI), то за исключением разрешения трафика со стороны центра через филиальный интернет никаких особых манипуляций проводить на шлюзах в филиале не надо.