Переброс пакетов со шлюза на шлюз

0

1

Сначала вопрос: Как организовать переадресацию пакетов с одного шлюза на другой? Подручные средства: iptables, route, squid.

Теперь суть. У нас имеется шлюз, который в данный момент обрабатывает весь внешний обмен: интернет и ipsec. Чтобы не загружать особо ipsec решили подключить второй интернет и поставили роутер, который находится в локальной сети. В настоящий момент есть идеи по переносу второго роутера на один свитч с первым и балансировка канала по двум провайдерам. Правда, ето может занять довольно много времени и не без глюков для начала (в то время, как важно качество работы в ущерб правильной архитектуре) и как план B я хочу просто перебрасывать некоторые пакеты со шлюза на второй роутер, который во внутренней сети. Так вот, как ето сделать, чтобы пакет мог обработать squid, а потом перекинуть на второй шлюз?

Ссылка

←	ha/xen/drbd для каждой виртуалке

FreeNAS кричит DEGRADED

→

В линуксе можно маршрутизировать трафик на основании правил. Гугли routing policy. Роутить трафик по имени локальной программы, его порождающей, вроде как нельзя. Поправьте если отстал от жизни.

Yur4eg ★★
(26.06.12 14:46:50 MSK)

Ответ на: комментарий от Yur4eg 26.06.12 14:46:50 MSK

А про какую локальную программу вы говорите? Мне надо просто, чтобы на шлюзе локальный трафик резался SQUID-ом и при наличии некоторых адресов в dst отправлялся не через основной канал на другой сетевой карте шлюза, а обратно через локалку на роутер. Надеюсь, понятно мысль выразил..

abr_linux ★
(26.06.12 15:37:07 MSK) автор топика

Ссылка

Поставь два сквида и заверни один в другой.

thesis ★★★★★
(26.06.12 15:42:20 MSK)

Ссылка

Ответ на: комментарий от Yur4eg 26.06.12 14:46:50 MSK

В линуксе можно маршрутизировать трафик на основании правил. Гугли routing policy. Роутить трафик по имени локальной программы, его порождающей, вроде как нельзя. Поправьте если отстал от жизни.

Есть одна хитрость. Если есть два процесса, которые отправляют данные, то можно запустить их от разных пользователей и через iptables -m owner отсортировать трафик.

iron ★★★★★
(27.06.12 15:58:27 MSK)

Ответ на: комментарий от iron 27.06.12 15:58:27 MSK

Давно есть, модуль owner:

   owner
       This  module  attempts to match various characteristics of the packet creator, for locally-gener-
       ated packets.  It is only valid in the OUTPUT chain, and even this some  packets  (such  as  ICMP
       ping responses) may have no owner, and hence never match.

       --uid-owner userid
              Matches if the packet was created by a process with the given effective user id.

       --gid-owner groupid
              Matches if the packet was created by a process with the given effective group id.

       --pid-owner processid
              Matches if the packet was created by a process with the given process id.

       --sid-owner sessionid
              Matches if the packet was created by a process in the given session group.

       --cmd-owner name
              Matches  if the packet was created by a process with the given command name.  (this option
              is present only if iptables was compiled under a kernel supporting this feature)

       NOTE: pid, sid and command matching are broken on SMP

~~berrywizard~~ ★★★★★
(28.06.12 10:41:00 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	ha/xen/drbd для каждой виртуалке

Admin

FreeNAS кричит DEGRADED

→

Похожие темы