Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: в продолжение о iproute и 2 провах  (Прочитано 1815 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Enkil-404

  • Автор темы
  • Любитель
  • *
  • Сообщений: 53
    • Просмотр профиля
в продолжение о iproute и 2 провах
« : 11 Ноября 2009, 21:08:38 »
Извините за создание новой темы, но мне кажется что у меня несколько шире вопрос и если кто сможет помочь - буду крайне благодарен!

В продолжение
https://forum.ubuntu.ru/index.php?topic=60258.30


Товарищи убунтоводы, у меня к вам просьба


Постановка задачи
(Нажмите, чтобы показать/скрыть)

Раньше был написан скрипт для одного внешнего интерфейса, теперь, основываясь на ваших работах я попробовал объединить то что было у меня раньше и ваш опыт для моих новых задач.

Сейчас скрипт выглядит так

создание таблиц
(Нажмите, чтобы показать/скрыть)

Сам скрипт
(Нажмите, чтобы показать/скрыть)

Возникли следующие вопросы, просьба помочь по возможности
(Нажмите, чтобы показать/скрыть)

Пользователь решил продолжить мысль 11 Ноября 2009, 13:03:49:
?
« Последнее редактирование: 12 Ноября 2009, 05:04:10 от Enkil-404 »

Оффлайн badfiles

  • Участник
  • *
  • Сообщений: 230
    • Просмотр профиля
Re: в продолжение о iproute и 2 провах
« Ответ #1 : 12 Ноября 2009, 00:21:09 »
у меня стоит абсолютно аналогичная вашей задача, я тоже в питере, и тоже один пров дорогой и надежный, а другой дешевый, дает проблемный, да и ненужный внешний ip и может отвалиться. вот тема https://forum.ubuntu.ru/index.php?topic=74275.0

Я пока не реализовывал на практике, поскольку не подписан договор со вторым провом, но теоретически правила, в которых явно указан источник или назначение пакетов придётся дублировать для второго прова.

Насколько я понял, в iptables важен порядок правил в пределах одной таблицы, и таблицу mangle можно заполнять блоком в любом месте после флеша.

По моему маскарад все время проверяет ip на внешнем интерфейсе, поэтому для статического внешнего ip рекомендуется использовать s-nat.

Оффлайн Enkil-404

  • Автор темы
  • Любитель
  • *
  • Сообщений: 53
    • Просмотр профиля
Re: в продолжение о iproute и 2 провах
« Ответ #2 : 12 Ноября 2009, 00:41:50 »
Ну будем решать вместе)) а потом отметим "боевой" запуск=))

Я тоже пока не реализовывал на практике, но в силу иных причин.
Договор со вторым провом уже подписан и руководство дергает меня и хочет безлим по второму каналу(да и мне самому так было бы по многим параметрам удобнее)
Но к сожалению нет тестовой машины и попробовать конфиг в работе до "боевого" запуска нет возможности=((, поэтому и обращаюсь к товарищам-админам за советом.

Правила с явным указанием источников/получателей пакетов я продублировал для второго внешнего интерфейса, за исключение тех, которые однозначно должны работать только через определенный интерфейс.

Да, порядок правил важен ибо пакет будет обработан первым правилом, которому он подходит по критериям(и если далее идет еще одно правило для такого пакета, то оно задействовано не будет)

насчет snat согласен в общем, можно и его прописать, тогда данный блок, если не ошибаюсь, в моем случае будет выглядеть так
(Нажмите, чтобы показать/скрыть)

Цитировать
Насколько я понял, в iptables важен порядок правил в пределах одной таблицы, и таблицу mangle можно заполнять блоком в любом месте после флеша.

вот этого не понял, что значит "после флэша"?

« Последнее редактирование: 12 Ноября 2009, 01:17:41 от Enkil-404 »

Оффлайн badfiles

  • Участник
  • *
  • Сообщений: 230
    • Просмотр профиля
Re: в продолжение о iproute и 2 провах
« Ответ #3 : 12 Ноября 2009, 03:35:38 »
Ну пускай будет флаша :)   # Очистка таблиц и цепочек
Кстати, там у вас не чистится mangle

Оффлайн Enkil-404

  • Автор темы
  • Любитель
  • *
  • Сообщений: 53
    • Просмотр профиля
Re: в продолжение о iproute и 2 провах
« Ответ #4 : 12 Ноября 2009, 04:49:28 »
О, и правда, сейчас исправим))))

а так, да, логично что новые правила должны стоять после обнуления, а не до))

но в целом меня интересует комплексная работоспособность скрипта, т.е. если я его запущу на, работающем в данный момент через один внешний интерфейс, шлюзе(а подключены два внешних) - будут ли выполнены задачи, описанные в первом посте.
будет ли инет у пользователей, будет ли работать ограничение для ссш и впн, будет ли работать почта(почтовый сервер это машина на SBS опубликованная через шлюз)

т.е. моя просьба в общем заключалась в том, чтобы знающие люди посмотрели и сказали "да, все гуд" или "нет, поправь вот этот момент"

 

Страница сгенерирована за 0.041 секунд. Запросов: 23.