Failover routing. Iptables.

0

0

Добрый день,
Я вот пытался настроить автоматическое переключение между двумя ISP.
С помощью скрипта с ping и такой-то матери.
А потом нашел статью, в которой делается то, что мне нужно, при помощи
iptables.

Всё отлично работает, но там есть такое:
Next, you need to configure iptables by adding certain rules, so that
your internal LAN can route packets to the Internet. For this, issue
the following commands as root:

# iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
# iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
# iptables -A FORWARD -s 10.0.0.0/24 -j ACCEPT
# iptables -A FORWARD -d 10.0.0.0/24 -j ACCEPT
# iptables -A FORWARD -s ! 10.0.0.0/24 -j DROP

Инструкцию iptables сейчас читаю, Но я - человек, измученый нарзаном.
Подскажите пожалуйста, как эти правила позволяют "internal LAN can route packets to the Internet"?

Ссылка

←	Adaptec ASR-5805 и ядра 2.4

yum update не обновлять нужные пакеты

→

статью покаж...

chocholl ★★
(08.12.08 09:42:02 MSK)

Я конечно не силен в iptables, но похоже на то, что эти правила настраивают маскарадинг(я так понял один из видов nat) для сети 10.0.0.0/24.В общем трансляция адресов.Почитай про nat

enelen
(08.12.08 09:44:26 MSK)

Ссылка

Ответ на: комментарий от chocholl 08.12.08 09:42:02 MSK

Вот эта: http://www.linux.com/feature/113988

anonymous
(08.12.08 09:50:20 MSK)

Ссылка

> # iptables -A FORWARD -s 10.0.0.0/24 -j ACCEPT > # iptables -A FORWARD -d 10.0.0.0/24 -j ACCEPT > # iptables -A FORWARD -s ! 10.0.0.0/24 -j DROP

Кто ж так пишет?...

Разрешаем из локалки в интернет:

iptables -A FORWARD -s 10.0.0.0/24 -j ACCEPT

Разрешаем ответы от веб-сайтов и прочие соединения в нашу сторону:

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

Больше ничего не надо.

anonymous
(08.12.08 10:02:11 MSK)

Ответ на: комментарий от anonymous 08.12.08 10:02:11 MSK

>Кто ж так пишет?...

Мотороллер не мой, я просто спросил. Спасибо, так тоже работает.

anonymous
(08.12.08 11:08:29 MSK)

Ссылка

правила в которых FORWARD - это разрешение хождения пакетов.
там где POSTROUTING - это трансляция локальных адресов в адрес интерфейса, куда роутиться пакет.
а собсно сам роутинг осуществляется благодаря двум equal cost маршрутам:

# route add default gw 61.16.130.97 dev eth0
# route add default gw 200.15.110.90 dev eth1

chocholl ★★
(08.12.08 11:15:14 MSK)

Ответ на: комментарий от chocholl 08.12.08 11:15:14 MSK

Да, это всё хорошо.
А если после ISPшного гейта 61.16.130.97 будет стоять маршрутизатор,
который, к примеру, сдохнет, - ядро будет использовать failover
маршрут?

У меня - не получилось.
Писать скрипт c ping?

anonymous
(08.12.08 18:04:14 MSK)

Ответ на: комментарий от anonymous 08.12.08 18:04:14 MSK

Halp, anyone?

anonymous
(09.12.08 08:19:16 MSK)

Ссылка

Ответ на: комментарий от anonymous 08.12.08 18:04:14 MSK

нет, так как доступность первого хопа останется.
для более продвинутого файловера договаривайся с провайдером касательно bgp и private as.

chocholl ★★
(09.12.08 10:01:06 MSK)

Ответ на: комментарий от chocholl 09.12.08 10:01:06 MSK

Ох, теперь я вижу.
Последний раз bgp согласовывали полгода.

Написал недодемона с fping.
Спасибо.

anonymous
(09.12.08 11:01:39 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Adaptec ASR-5805 и ядра 2.4

Admin

yum update не обновлять нужные пакеты

→

Похожие темы