вернуть пакет в исходный интерфейс (№2)

0

0

Суть вопроса вот в чем. Не получается у меня...

В общем имеется серв линуксовый. Один сетевой интерфейс смотрит в прова, с публичным ипом. Через этот интерфейс с циской строится туннель 172.16.1/30, цсика держит на себе сетку 85.102.130.0, она попилена между девайсами, сервами и т.п. Но одна сеть типа 85.102.130.64/28 статикой направляется в туннель.

На линукс сервере алиасом прописан ип 85.102.130.65/32

Делаю пинг с улицы, на линукс через туннель в тспдамп падает пакет вида:

73.123.1.1 > 85.102.130.65 73.123.1.1 > 85.102.130.65 73.123.1.1 > 85.102.130.65 73.123.1.1 > 85.102.130.65

И все. От линукса ответа нет никакого... Полагаю, что он кидает ответы в дефолтный маршрут в eth0

Ссылка

←	Samba +AD файловый сервер. Проблема в подсетях и win98

Квота на трафик

→

Зачем полагать, когда тспдамп на eth0 должен это показать?

Valmont ★★★
(03.09.09 14:35:49 MSD)

дык 85.102.130.65/28 алиас на тунель и маршрутизацию отстроить ;]

hizel ★★★★★
(03.09.09 14:36:49 MSD)

Ответ на: комментарий от Valmont 03.09.09 14:35:49 MSD

Повесил тспдамн на any - не показывает ничего, только входящие пакеты с разных ипов на мой, алиасный...

bb
(03.09.09 15:20:45 MSD) автор топика

Ответ на: комментарий от hizel 03.09.09 14:36:49 MSD

Что значит "маршрутизацию отстроить" ?

bb
(03.09.09 15:24:37 MSD) автор топика

Ответ на: комментарий от bb 03.09.09 15:24:37 MSD

http://www.opennet.ru/docs/RUS/LARTC/x348.html

hizel ★★★★★
(03.09.09 16:44:54 MSD)

Ответ на: комментарий от hizel 03.09.09 16:44:54 MSD

Правильно ли я понял?

Давайте определим некоторые переменные. Пусть $IF1 (eth0) будет именем первого интерфейса (if1 на рисунке), а $IF2 (gre1) -- именем второго. Тогда $IP1 (111.222.111.2/30) будет IP адресом $IF1 , а $IP2 (85.102.130.66/28) -- IP адресом $IF2 . Далее, $P1 (111.222.111.1/30) это IP-адрес шлюза провайдера 1, а $P2 (85.102.130.65/28) -- IP адрес шлюза провайдера 2. Наконец, $P1_NET (111.222.111.0/30) это IP сеть, к которой принадлежит $P1 , а $P2_NET (85.102.130.64/28) -- сеть, к которой принадлежит $P2 .

ip route add $P1_NET dev $IF1 src $IP1 table T1
ip route add default via $P1 table T1
ip route add $P2_NET dev $IF2 src $IP2 table T2
ip route add default via $P2 table T2

ip route add $P1_NET dev $IF1 src $IP1
ip route add $P2_NET dev $IF2 src $IP2

ip route add default via $P1

ip rule add from $IP1 table T1
ip rule add from $IP2 table T2

Вроде все понятно. Только пакеты приходят ведь не от 85.102.130.65, а от всего инета... С разных сурсов... Когда с циски пингую - все ок. Там видно, что они идут с сурса 85.102.130.65, и ответ им есть. А когда приходят с типа 213.ххх.ххх.ххх, 112.ххх.ххх.ххх и т.п. - ответа нет. Шо поделать?

bb
(03.09.09 17:19:39 MSD) автор топика

Ссылка

Ответ на: комментарий от bb 03.09.09 15:20:45 MSD

>Повесил тспдамн на any - не показывает ничего, только входящие пакеты с разных ипов на мой, алиасный...

может iptables drop делает?

iptables-save посмотри

dimon555 ★★★★★
(03.09.09 18:10:41 MSD)

Ответ на: комментарий от dimon555 03.09.09 18:10:41 MSD

Здорого димон, давно я тут не был :)

Везде акцепты, никаких правил нема, кроме маскарадинга частной локалки 172.16.1.0/24 в eth0

Шо поделать ненаю...

Причем, если я напишу правило для пингующего ипа, чтобы его видеть через гре1 - тогда конечно все ок. Но я же не могу весь инет завернуть в туннель...

bb
(03.09.09 18:34:59 MSD) автор топика

Ответ на: комментарий от bb 03.09.09 18:34:59 MSD

Правило я имел ввиду route add -host xxxx dev gre1

bb
(03.09.09 18:48:52 MSD) автор топика

Ссылка

>Полагаю, что он кидает ответы в дефолтный маршрут в eth0

а куда он их должен кидать для ответа на адрес 73.123.1.1?

ip route sh и смотри

возможно твой нат совсем всё заворачивает

циско-то знает где 85.102.130.65/32 искать, а клиенты?

dimon555 ★★★★★
(03.09.09 20:39:36 MSD)

Ответ на: комментарий от dimon555 03.09.09 20:39:36 MSD

Должен кидать в гре1. Оттуда же пришел запрос. А он не кидает. Там ведь приходит пакет с сурсом любым. Ну линух и кидает его по дефолту. А как сделать чтобы он кидал все пришедшее из гре1 в гре1 - хз. Привязку к ипу не могу делать, т.к. я не знаю из какой части планеты придет запрос.

Да и клиенты знают. Из мира все заворачивается на циску. А циска все по туннелю бросает на меня. А вот мой линух уже не знает шо с этим делать. И не отвечает.

bb
(03.09.09 22:08:50 MSD) автор топика

Ответ на: комментарий от bb 03.09.09 22:08:50 MSD

А зачем вам дефаулт в eth0, если всё заворачивается в циску и в тунель?

Ну а так можете попробовать извратиться с маркировкой соединений через MARK/CONNMARK --save-mark, маркировкой исходящих пакетов по --restore-mark и отправлением их в отдельную таблицу маршрутизации через ip rule fw ...

mky ★★★★★
(04.09.09 09:35:55 MSD)

Ответ на: комментарий от mky 04.09.09 09:35:55 MSD

Потому, что обновления всякие сервера, некоторые клиенты из локалки, все ходит по дефолту... Но вот этот серв держит внешние ипы через гре. На которые обращаются всякие клиенты... Буду смотреть на счет коннмарка.

bb
(04.09.09 11:43:53 MSD) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Samba +AD файловый сервер. Проблема в подсетях и win98

Admin

Квота на трафик

→

Похожие темы