Логин:   Пароль:   
   
 
X   Сообщение сайта
(Сообщение закроется через 2 секунды)
 
> Маршрутизация CentOS, Нужна помощь
Koini
сообщение 23.8.2014, 20:48
Сообщение #1


Местный


Группа: Пользователи
Сообщений: 1064
Регистрация: 9.10.2007
Из: Default City
Пользователь №: 31675
Спасибо сказали: 43 раз(а)



Собственно, касаемо услуги КОННЕКТ (Сеть /29)
Как правильно зарулить маршрутизацию на серваке?

Дано:

Сети A B и C, где A & B ходят в VLAN 10
Сеть A = внешний линк от провайдера, получает РЕАЛЬНЫЙ ОДИН IP, должен отвечать ТОЛЬКО на запросы к этому IP. Допустим, имеет IP 1.0.0.5 , девайс eth0.10
Сеть B = внешний линк от провайдера, получает ДИНАМИЧЕСКИЙ IP, В КОТОРЫЙ ЗАВЕРНУТЫ ПАКЕТЫ ДЛЯ СЕТКИ /29, должен являться шлюзом и МАРШРУТИЗИРОВАТЬ ПАКЕТЫ МЕЖДУ B и C.
Сеть C = Внутренний линк к компам, которые ПОЛУЧАЮТ РЕАЛЬНЫЕ IP адреса из сетки /29, должен маршрутизироваться между сетью B и сетью C. Допустим, имеет IP 1.9.9.1 MASK 255.255.255.248

Что настроено сейчас:

eth2:

Код
DEVICE=eth2
HWADDR=********
BOOTPROTO=none
IPADDR=1.9.9.1
NETMASK=255.255.255.248
ONBOOT=yes
TYPE=Ethernet
USERCTL=no


eth0.10
Код
VLAN="yes"
DEVICE=eth0.10
PHYSDEV="eth0"
BOOTPROTO=dhcp
#DEFROUTE="yes"
ONBOOT=yes
NETWORKING_IPV6="yes"
IPV6FORWARDING="yes"
IPV6INIT=yes
USERCTL=no


eth1.10
Код
USERCTL=yes
VLAN="yes"
DEVICE=eth1.10
PHYSDEV="eth1"
NM_CONTROLLED=no
BOOTPROTO=dhcp
DEFROUTE="yes"
#IPV4_FAILURE_FATAL="yes"
PEERDNS="yes"
PEERROUTES="yes"
ONBOOT=yes
IPV6INIT=no


Далее по маршрутам

eth2
Код
ip rule add from 1.9.9.1/29 table NBN_Connect pref 200
ip rule add to 1.9.9.1/29 table NBN_Connect pref 200
route add table NBN_Connect via 1.9.9.1 dev eth2


eth0.10
Код
ip rule add from 1.0.0.5 table NBN_Static
ip rule add to 1.0.0.5 table NBN_Static
table NBN_Static via 1.0.0.254 dev eth0.10


eth1.10
Код
ip rule add from 176.77.0.0/17 table NBN_Connect pref 200
ip rule add to 176.77.0.0/17 table NBN_Connect pref 200
ip route add via 176.77.0.1 dev eth1.10 table NBN_Connect


Есть в этом ошибки/недочеты?

Так же у меня пока включен arp proxy между eth2 и eth1.10

Правила iptables

Код
# Generated by iptables-save v1.4.7 on Thu Jan  3 01:00:33 2013
*filter
:INPUT ACCEPT [233:12584]
:FORWARD ACCEPT [3:984]
:OUTPUT ACCEPT [129:10904]
-A INPUT -p ipv6 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -s 114.80.0.0/12 -j DROP
-A FORWARD -i eth1.10 -o eth2 -j ACCEPT
-A FORWARD -i eth2 -o eth1.10 -j ACCEPT
-A OUTPUT -p ipv6 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
COMMIT
# Completed on Thu Jan  3 01:00:33 2013


--------------------
We are Furry Представитель NekoNET, немного пуссортю
 
+Цитировать сообщение
koshev
сообщение 24.8.2014, 10:19
Сообщение #2


Чемпион


Группа: Пользователи
Сообщений: 2561
Регистрация: 25.7.2007
Из: г.Москва, Западное Дегунино
Пользователь №: 29936
Спасибо сказали: 199 раз(а)



Не очень понятно, это те действия которые уже выполнены или будут выполнены?
Если уже, то лучше бы показать результат.
Код
ip -4 route show table all type unicast
ip rule

Я бы сделал только одну дополнительную таблицу маршрутизации — для сети A. А сеть/29 пусть себе живёт в default.
Ну и маршрутизация будет себе примерно такая
Код
ip route add via 1.0.0.254 dev eth0.10 table NBN_Static
ip rule add from 1.0.0.5 table NBN_Static
ip route add via 176.77.0.1 dev eth1.10 src 1.9.9.1

Приведу свой пример, отличие в том, что у меня Debian 7, пока до сих пор PPPoE и три внутренних сети, включая /29, но может он будет полезным.
Код
root@server:~# ip -4 -o a s
1: lo    inet 127.0.0.1/8 scope host lo\       valid_lft forever preferred_lft forever
14: adm0    inet 192.168.1.1/27 brd 192.168.1.31 scope global adm0\       valid_lft forever preferred_lft forever
15: lan0    inet 192.168.0.1/24 brd 192.168.0.255 scope global lan0\       valid_lft forever preferred_lft forever
16: lan1    inet 213.141.136.41/29 brd 213.141.136.47 scope global lan1\       valid_lft forever preferred_lft forever
36: isp0ppp    inet 176.195.134.131 peer 212.1.254.115/32 scope global isp0ppp\       valid_lft forever preferred_lft forever
40: isp1    inet 31.130.39.48/24 brd 31.130.39.255 scope global isp1\       valid_lft forever preferred_lft forever
Код
root@server:~# ip -4 r s t all type unicast
default via 31.130.39.1 dev isp1  table comlan  proto bird
192.168.0.0/24 dev lan0  table comlan  proto bird
192.168.1.0/27 dev adm0  table comlan  proto bird
213.141.136.40/29 dev lan1  table comlan  proto bird
default dev isp0ppp  table konsul  proto bird
192.168.0.0/24 dev lan0  table konsul  proto bird
192.168.1.0/27 dev adm0  table konsul  proto bird
213.141.136.40/29 dev lan1  table konsul  proto bird
default  table default  proto bird
        nexthop via 31.130.39.1  dev isp1 weight 1
        nexthop via 212.1.254.115  dev isp0ppp weight 3
10.112.1.1 via 31.130.39.1 dev isp1  table default  proto bird
10.112.2.1 via 31.130.39.1 dev isp1  table default  proto bird
31.130.39.0/24 dev isp1  proto kernel  scope link  src 31.130.39.48
192.168.0.0/24 dev lan0  proto kernel  scope link  src 192.168.0.1
192.168.1.0/27 dev adm0  proto kernel  scope link  src 192.168.1.1
212.1.254.115 dev isp0ppp  proto kernel  scope link  src 176.195.134.131
213.141.136.40/29 dev lan1  proto kernel  scope link  src 213.141.136.41
Код
root@server:~# ip rule
0:      from all lookup local
32761:  from 31.130.39.48 lookup comlan
32762:  from 213.141.136.40/29 lookup konsul
32763:  from 176.195.134.131 lookup konsul
32764:  from all fwmark 0x2 lookup konsul
32765:  from all fwmark 0x1 lookup comlan
32766:  from all lookup main
32767:  from all lookup default
Код
root@server:~# iptables-save -t mangle
# Generated by iptables-save v1.4.21 on Sun Aug 24 11:09:46 2014
*mangle
:PREROUTING ACCEPT [100621:16072261]
:INPUT ACCEPT [85025:6026978]
:FORWARD ACCEPT [15560:10040002]
:OUTPUT ACCEPT [134046:135413931]
:POSTROUTING ACCEPT [149167:145431907]
:BALANCE - [0:0]
:COMLAN - [0:0]
:KONSUL - [0:0]
-A PREROUTING -m conntrack --ctstate RELATED,ESTABLISHED -j CONNMARK --restore-mark --nfmask 0xffffffff --ctmask 0xffffffff
-A PREROUTING -i isp1 -j COMLAN
-A PREROUTING -i isp0ppp -j KONSUL
-A PREROUTING -s 192.168.0.64/26 -j COMLAN
-A PREROUTING -s 192.168.0.192/26 -j BALANCE
-A PREROUTING -s 192.168.0.128/26 -j KONSUL
-A PREROUTING -m state --state NEW -m connmark ! --mark 0x0 -j CONNMARK --save-mark --nfmask 0xffffffff --ctmask 0xffffffff
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -s 192.168.0.192/26 -j BALANCE
-A OUTPUT -m set --match-set comlan dst -j CONNMARK --set-xmark 0x1/0xffffffff
-A OUTPUT -m set --match-set konsul dst -j CONNMARK --set-xmark 0x2/0xffffffff
-A OUTPUT -j CONNMARK --restore-mark --nfmask 0xffffffff --ctmask 0xffffffff
-A BALANCE -m statistic --mode nth --every 2 --packet 0 -j COMLAN
-A BALANCE -m statistic --mode nth --every 2 --packet 1 -j KONSUL
-A COMLAN -j MARK --set-xmark 0x1/0xffffffff
-A COMLAN -m set --match-set konsul dst -j MARK --set-xmark 0x2/0xffffffff
-A KONSUL -j MARK --set-xmark 0x2/0xffffffff
-A KONSUL -m set --match-set comlan dst -j MARK --set-xmark 0x1/0xffffffff
COMMIT
# Completed on Sun Aug 24 11:09:46 2014
root@server:~#

И да, "конспирология", мне кажется излишей.


--------------------
ПИН: 1514481
 
+Цитировать сообщение
Koini
сообщение 24.8.2014, 11:46
Сообщение #3


Местный


Группа: Пользователи
Сообщений: 1064
Регистрация: 9.10.2007
Из: Default City
Пользователь №: 31675
Спасибо сказали: 43 раз(а)



Сделал по Вашему совету, вышло вот как-то так. До сих пор не могу побить проблему в том, что машина через некоторое время перестает быть доступной из инета.
Тоесть с машины никуда не уходят пинги, трассы, кроме как в сеть /29 (внутрь). Наружу - не идут. Если трасировать на машину - обрубается на самом первом хопе при входе в НБН. Тоесть будто машина физически отключена от сети, ибо даже до шлюза не доходит трасса, который обычно идет перед моим IP. Хотя все IP адреса на интерфейсах по ifconfig есть. Маршруты - тоже.

ip -4 route show table all type unicast
Код
213.141.136.200/29 dev eth2  proto kernel  scope link  src 213.141.136.201
213.141.128.0/19 dev eth0.10  proto kernel  scope link  src 213.141.131.88
176.77.0.0/17 dev eth1.10  proto kernel  scope link  src 176.77.7.104
default via 176.77.0.1 dev eth1.10
default via 213.141.159.253 dev eth0.10  table NBN_Static



И чем может быть обусловлено еще вот это поведение:

Трасса на шлюз (213.141.136.201)
Код
Трассировка маршрута к gateway.vyiffe.ru [213.141.136.201]
с максимальным числом прыжков 30:

  1     3 ms     1 ms     1 ms  192.168.1.1
  2     3 ms     2 ms     2 ms  10.183.128.1
  3     2 ms     1 ms     2 ms  213.85.211.145
  4     3 ms     3 ms     3 ms  213.85.208.161
  5    34 ms    21 ms     3 ms  213.85.208.250
  6     3 ms     3 ms     3 ms  msk-r1-b7-xe-3-3-0-0.ti.ru [212.1.242.173]
  7    10 ms    10 ms     8 ms  212.1.251.142
  8     4 ms     4 ms     4 ms  212.1.236.50
  9     *        *        *     Превышен интервал ожидания для запроса.
10     *        *        *     Превышен интервал ожидания для запроса.
11     *        *        *     Превышен интервал ожидания для запроса.
12     *        *        *     Превышен интервал ожидания для запроса.


На устройство за ним:
Код
Трассировка маршрута к srv04.vyiffe.ru [213.141.136.204]
с максимальным числом прыжков 30:

  1     1 ms     1 ms     1 ms  192.168.1.1
  2     3 ms     2 ms     3 ms  10.183.128.1
  3     2 ms    36 ms     1 ms  213.85.211.145
  4    52 ms     3 ms     3 ms  213.85.208.161
  5     3 ms     3 ms     4 ms  213.85.208.250
  6     5 ms     6 ms     4 ms  msk-r1-b7-xe-3-3-0-0.ti.ru [212.1.242.173]
  7    12 ms    20 ms    38 ms  msk-r1-d75-te-3-1.ti.ru [212.1.251.238]
  8    32 ms    39 ms    39 ms  212.1.236.50
  9     4 ms     4 ms     4 ms  ip-176-77-7-104.bb.netbynet.ru [176.77.7.104]
10     *        *        *     Превышен интервал ожидания для запроса.
11     *        *        *     Превышен интервал ожидания для запроса.
12


На несуществующее устройство:

Код
Трассировка маршрута к slyfox.vyiffe.ru [213.141.136.202]
с максимальным числом прыжков 30:

  1     1 ms     1 ms     1 ms  192.168.1.1
  2     3 ms     4 ms     2 ms  10.183.128.1
  3     2 ms     2 ms     2 ms  213.85.211.145
  4     4 ms     3 ms     4 ms  213.85.208.161
  5     3 ms     3 ms     3 ms  213.85.208.250
  6     3 ms     3 ms     3 ms  msk-r1-b7-xe-3-3-0-0.ti.ru [212.1.242.173]
  7     3 ms     3 ms     3 ms  212.1.251.34
  8     4 ms     4 ms     4 ms  212.1.236.50
  9     4 ms     4 ms     4 ms  ip-176-77-7-104.bb.netbynet.ru [176.77.7.104]
10  ip-176-77-7-104.bb.netbynet.ru [176.77.7.104]  сообщает: Заданный узел нед
ступен.

Трассировка завершена.


--------------------
We are Furry Представитель NekoNET, немного пуссортю
 
+Цитировать сообщение
koshev
сообщение 24.8.2014, 12:44
Сообщение #4


Чемпион


Группа: Пользователи
Сообщений: 2561
Регистрация: 25.7.2007
Из: г.Москва, Западное Дегунино
Пользователь №: 29936
Спасибо сказали: 199 раз(а)



А ip_fowrard включен? Такое ощущение, как будто нет.


--------------------
ПИН: 1514481
 
+Цитировать сообщение
Koini
сообщение 24.8.2014, 12:56
Сообщение #5


Местный


Группа: Пользователи
Сообщений: 1064
Регистрация: 9.10.2007
Из: Default City
Пользователь №: 31675
Спасибо сказали: 43 раз(а)



Код
net.ipv4.ip_forward = 1
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.default.accept_source_route = 1
kernel.sysrq = 0
kernel.core_uses_pid = 1
net.ipv4.tcp_syncookies = 1
error: "net.bridge.bridge-nf-call-ip6tables" is an unknown key
error: "net.bridge.bridge-nf-call-iptables" is an unknown key
error: "net.bridge.bridge-nf-call-arptables" is an unknown key
kernel.msgmnb = 65536
kernel.msgmax = 65536
kernel.shmmax = 68719476736
kernel.shmall = 4294967296
net.ipv6.conf.all.forwarding = 1
net.ipv6.conf.default.forwarding = 1


А вот по пингу в момент отвала:

Код
Ответ от 213.141.131.88: число байт=32 время=4мс TTL=57
Ответ от 213.141.131.88: число байт=32 время=4мс TTL=57
Ответ от 212.1.236.50: Превышен срок жизни (TTL) при передаче пакета.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.


--------------------
We are Furry Представитель NekoNET, немного пуссортю
 
+Цитировать сообщение
Koini
сообщение 25.8.2014, 1:14
Сообщение #6


Местный


Группа: Пользователи
Сообщений: 1064
Регистрация: 9.10.2007
Из: Default City
Пользователь №: 31675
Спасибо сказали: 43 раз(а)



смущает вот что:
Код
:FORWARD ACCEPT [0:0]


вот полностью иптаблес:

Код
# Generated by iptables-save v1.4.7 on Mon Aug 25 02:12:10 2014
*filter
:INPUT ACCEPT [378:66085]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [338:48034]
-A INPUT -p ipv6 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 46.228.0.0/16 -j DROP
-A INPUT -s 90.188.111.118/32 -j DROP
-A INPUT -s 178.68.210.225/32 -j DROP
-A INPUT -s 114.80.0.0/12 -j DROP
-A INPUT -p tcp -m state --state NEW -m tcp --dport 378 -j ACCEPT
-A INPUT ! -s 213.141.136.200/29 -p udp -m udp --dport 53 -m connlimit --connlimit-above 100 --connlimit-mask 32 -j DROP
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25555 -m connlimit --connlimit-above 32 --connlimit-mask 32 -j DROP
-A INPUT -p tcp -m tcp --dport 25555 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25565 -m connlimit --connlimit-above 32 --connlimit-mask 32 -j DROP
-A INPUT -p tcp -m tcp --dport 25565 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -s 114.80.0.0/12 -j DROP
-A FORWARD -i eth1.10 -o eth2 -j ACCEPT
-A FORWARD -i eth2 -o eth1.10 -j ACCEPT
-A OUTPUT -p ipv6 -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
COMMIT
# Completed on Mon Aug 25 02:12:10 2014


--------------------
We are Furry Представитель NekoNET, немного пуссортю
 
+Цитировать сообщение
Koini
сообщение 25.8.2014, 15:21
Сообщение #7


Местный


Группа: Пользователи
Сообщений: 1064
Регистрация: 9.10.2007
Из: Default City
Пользователь №: 31675
Спасибо сказали: 43 раз(а)



Так... iptables форвардить начал, спасибо Forst

вот теперь что на интерфейсе, смотрящем в провайдера при пинге 213.141.136.202

Код
[root@gateway ~]# tcpdump -i eth1.10
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1.10, link-type EN10MB (Ethernet), capture size 65535 bytes
16:16:25.469987 IP slyfox.vyiffe.ru.49593 > 137.116.232.37.https: Flags [S], seq 2740322532, win 65535, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
16:16:25.471828 IP ip-176-77-31-119.bb.netbynet.ru.54573 > dns1.ti.ru.domain: 38732+ PTR? 37.232.116.137.in-addr.arpa. (45)
16:16:25.525695 IP dns1.ti.ru.domain > ip-176-77-31-119.bb.netbynet.ru.54573: 38732 0/0/0 (45)
16:16:25.526108 IP ip-176-77-31-119.bb.netbynet.ru.58880 > dns1.ti.ru.domain: 4975+ PTR? 202.136.141.213.in-addr.arpa. (46)
16:16:25.527082 IP dns1.ti.ru.domain > ip-176-77-31-119.bb.netbynet.ru.58880: 4975 1/0/0 PTR slyfox.vyiffe.ru. (76)
16:16:25.527500 IP ip-176-77-31-119.bb.netbynet.ru.46426 > dns1.ti.ru.domain: 53249+ PTR? 6.224.1.212.in-addr.arpa. (42)
16:16:25.528566 IP dns1.ti.ru.domain > ip-176-77-31-119.bb.netbynet.ru.46426: 53249 1/0/0 PTR dns1.ti.ru. (66)
16:16:25.528831 IP ip-176-77-31-119.bb.netbynet.ru.46602 > dns1.ti.ru.domain: 56837+ PTR? 119.31.77.176.in-addr.arpa. (44)
16:16:25.584395 IP dns1.ti.ru.domain > ip-176-77-31-119.bb.netbynet.ru.46602: 56837 1/0/0 PTR ip-176-77-31-119.bb.netbynet.ru. (89)
16:16:26.782389 IP slyfox.vyiffe.ru.49589 > lb-in-f84.1e100.net.https: Flags [S], seq 2541261039, win 8192, options [mss 1460,nop,nop,sackOK], length 0
16:16:26.782663 IP ip-176-77-31-119.bb.netbynet.ru.54547 > dns1.ti.ru.domain: 51898+ PTR? 84.71.194.173.in-addr.arpa. (44)
16:16:26.783328 IP slyfox.vyiffe.ru.49588 > lb-in-f84.1e100.net.https: Flags [S], seq 2268018473, win 8192, options [mss 1460,nop,nop,sackOK], length 0
16:16:26.783666 IP dns1.ti.ru.domain > ip-176-77-31-119.bb.netbynet.ru.54547: 51898 1/0/0 PTR lb-in-f84.1e100.net. (77)
16:16:28.201348 IP host-77-41-43-32.qwerty.ru > slyfox.vyiffe.ru: ICMP echo request, id 17028, seq 5, length 64
16:16:28.201671 IP ip-176-77-31-119.bb.netbynet.ru.41713 > dns1.ti.ru.domain: 12502+ PTR? 32.43.41.77.in-addr.arpa. (42)
16:16:28.257311 IP dns1.ti.ru.domain > ip-176-77-31-119.bb.netbynet.ru.41713: 12502 1/2/0 PTR host-77-41-43-32.qwerty.ru. (122)
16:16:28.470245 IP slyfox.vyiffe.ru.49593 > 137.116.232.37.https: Flags [S], seq 2740322532, win 65535, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
16:16:28.887061 IP slyfox.vyiffe.ru.49594 > 111.221.74.43.40010: Flags [S], seq 1613990604, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
16:16:28.887305 IP ip-176-77-31-119.bb.netbynet.ru.40844 > dns1.ti.ru.domain: 45521+ PTR? 43.74.221.111.in-addr.arpa. (44)
16:16:28.888341 IP dns1.ti.ru.domain > ip-176-77-31-119.bb.netbynet.ru.40844: 45521 NXDomain 0/1/0 (112)
16:16:28.960215 IP slyfox.vyiffe.ru.49590 > lb-in-f84.1e100.net.https: Flags [S], seq 898801723, win 8192, options [mss 1460,nop,nop,sackOK], length 0
16:16:29.561236 ARP, Request who-has 10.53.7.195 tell 0.0.0.0, length 46
16:16:29.561512 IP ip-176-77-31-119.bb.netbynet.ru.42591 > dns1.ti.ru.domain: 46501+ PTR? 195.7.53.10.in-addr.arpa. (42)
16:16:29.562525 IP dns1.ti.ru.domain > ip-176-77-31-119.bb.netbynet.ru.42591: 46501 NXDomain* 0/1/0 (101)
16:16:29.562764 IP ip-176-77-31-119.bb.netbynet.ru.52541 > dns1.ti.ru.domain: 3345+ PTR? 0.0.0.0.in-addr.arpa. (38)
16:16:29.563755 IP dns1.ti.ru.domain > ip-176-77-31-119.bb.netbynet.ru.52541: 3345 NXDomain* 0/1/0 (97)
16:16:30.496841 IP slyfox.vyiffe.ru.49595 > 111.221.74.43.https: Flags [S], seq 3327737183, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
16:16:30.580509 IP slyfox.vyiffe.ru.49591 > 173.194.32.128.https: Flags [S], seq 1907692058, win 8192, options [mss 1460,nop,nop,sackOK], length 0
16:16:30.580819 IP ip-176-77-31-119.bb.netbynet.ru.49189 > dns1.ti.ru.domain: 20661+ PTR? 128.32.194.173.in-addr.arpa. (45)
16:16:30.581890 IP dns1.ti.ru.domain > ip-176-77-31-119.bb.netbynet.ru.49189: 20661 NXDomain 0/1/0 (105)
16:16:30.783402 IP slyfox.vyiffe.ru.49592 > 173.194.32.128.https: Flags [S], seq 3192564602, win 8192, options [mss 1460,nop,nop,sackOK], length 0
16:16:31.832728
16:16:31.888247 IP slyfox.vyiffe.ru.49594 > 111.221.74.43.40010: Flags [S], seq 1613990604, win 8192, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
^C
33 packets captured


--------------------
We are Furry Представитель NekoNET, немного пуссортю
 
+Цитировать сообщение
Koini
сообщение 26.8.2014, 20:48
Сообщение #8


Местный


Группа: Пользователи
Сообщений: 1064
Регистрация: 9.10.2007
Из: Default City
Пользователь №: 31675
Спасибо сказали: 43 раз(а)



Цитата(koshev @ 24.8.2014, 11:19) *
Не очень понятно, это те действия которые уже выполнены или будут выполнены?
Если уже, то лучше бы показать результат.
Код
ip -4 route show table all type unicast
ip rule

Я бы сделал только одну дополнительную таблицу маршрутизации — для сети A. А сеть/29 пусть себе живёт в default.
Ну и маршрутизация будет себе примерно такая
Код
ip route add via 1.0.0.254 dev eth0.10 table NBN_Static
ip rule add from 1.0.0.5 table NBN_Static
ip route add via 176.77.0.1 dev eth1.10 src 1.9.9.1


вообщем все так (для будущих абонентов с двумя линками на CentOS при DHCP):
N = WAN1
Z = WAN2
Y = LAN

Код
sysctl:
net.ipv4.conf.default.accept_source_route = 1
net.ipv4.conf.all.arp_filter = 1
net.ipv4.conf.all.arp_ignore = 1
net.ipv4.conf.ethN.arp_filter = 1
net.ipv4.conf.ethZ.arp_filter = 1
net.ipv4.conf.ethN.arp_announce = 1
net.ipv4.conf.ethZ.arp_announce = 1
net.ipv4.conf.all.arp_announce = 1


Код
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A FORWARD -i ethZ -o ethY -j ACCEPT
-A FORWARD -i ethY -o ethZ -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j TCPMSS --clamp-mss-to-pmtu


Не надо создавать дополнительных таблиц маршрутизации для внешнего интерфейса с прямым IP!!! Иначе рискуете потерять полный доступ к этой сети ( в нашем случае 213.141.128.0/19 ) с внутрисетевых машин.
======================================================
UPD пока это влияет только на пинги к второму IP того же шлюза. СЕЙЧАС пинги не идут как и не шли на все остальные IP этой сетки, посему пока оставил
Код
default via 213.141.159.253 dev eth0.10  table NBN_Static

======================================================
Так же могу рекомендовать создать файл
Цитата
/etc/sysconfig/network-scripts/dhclient-ethN
/etc/sysconfig/network-scripts/dhclient-ethZ

со следующим содержанием:

Код
timeout 60;
retry 60;
reboot 10;
select-timeout 5;
initial-interval 2;
reject *.*.*.*; (айпишник самого DHCP сервера на случай, если сервер вдруг решит отдать вам свой же IP)
interface "ethN"
{
   supersede domain-name-servers 8.8.8.8, 8.8.4.4; // дописать DNS в файл resolv.conf
   request subnet-mask, broadcast-address, time-offset, routers,
        domain-name, domain-name-servers, host-name;
   require subnet-mask, domain-name-servers;
}


Сообщение отредактировал Koini - 26.8.2014, 20:52


--------------------
We are Furry Представитель NekoNET, немного пуссортю
 
+Цитировать сообщение
Koini
сообщение 27.8.2014, 15:34
Сообщение #9


Местный


Группа: Пользователи
Сообщений: 1064
Регистрация: 9.10.2007
Из: Default City
Пользователь №: 31675
Спасибо сказали: 43 раз(а)



UPD

Удаляем из дополнительных таблиц source роутинга все линки
Оставляем правила IPTABLES как сказано выше
Код
-A FORWARD -i ethZ -o ethY -j ACCEPT
-A FORWARD -i ethY -o ethZ -j ACCEPT


Если вы хотите в сеть на все адреса ходить исключительно через линк для сетки /29 (динамический IP)
А линк со статикой оставить курящим в сторонке, чтобы он отвечал лишь на обращения к нему из интернета - добавьте правила маршрутизации для интерфейса Z

На моем примере:

Код
[root@gateway ~]# echo 213.141.128.0/20 via 176.77.0.1 dev eth1.10 >> /etc/sysconfig/network-scripts/route-eth1.10
[root@gateway ~]# echo 213.141.144.0/20 via 176.77.0.1 dev eth1.10 >> /etc/sysconfig/network-scripts/route-eth1.10

Пока обкатываю. Траффик весь ходит через eth1.10 (ethZ)

Код
[root@gateway ~]# tcpdump -i eth1.10 -n | grep 213.141.131.228
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1.10, link-type EN10MB (Ethernet), capture size 65535 bytes
16:24:48.240863 IP 213.141.136.202 > 213.141.131.228: ICMP echo request, id 1, seq 36560, length 40
16:24:48.242547 IP 213.141.131.228 > 213.141.136.202: ICMP echo reply, id 1, seq 36560, length 40
16:24:49.243544 IP 213.141.136.202 > 213.141.131.228: ICMP echo request, id 1, seq 36561, length 40
16:24:49.245402 IP 213.141.131.228 > 213.141.136.202: ICMP echo reply, id 1, seq 36561, length 40
16:24:50.245720 IP 213.141.136.202 > 213.141.131.228: ICMP echo request, id 1, seq 36562, length 40
16:24:50.247598 IP 213.141.131.228 > 213.141.136.202: ICMP echo reply, id 1, seq 36562, length 40
16:24:51.248334 IP 213.141.136.202 > 213.141.131.228: ICMP echo request, id 1, seq 36563, length 40
16:24:51.250159 IP 213.141.131.228 > 213.141.136.202: ICMP echo reply, id 1, seq 36563, length 40
16:24:52.250441 IP 213.141.136.202 > 213.141.131.228: ICMP echo request, id 1, seq 36564, length 40
16:24:52.252180 IP 213.141.131.228 > 213.141.136.202: ICMP echo reply, id 1, seq 36564, length 40
16:24:53.252177 IP 213.141.136.202 > 213.141.131.228: ICMP echo request, id 1, seq 36565, length 40
16:24:53.253996 IP 213.141.131.228 > 213.141.136.202: ICMP echo reply, id 1, seq 36565, length 40
16:24:54.254270 IP 213.141.136.202 > 213.141.131.228: ICMP echo request, id 1, seq 36566, length 40
16:24:54.255968 IP 213.141.131.228 > 213.141.136.202: ICMP echo reply, id 1, seq 36566, length 40
16:24:55.256212 IP 213.141.136.202 > 213.141.131.228: ICMP echo request, id 1, seq 36567, length 40
16:24:55.257852 IP 213.141.131.228 > 213.141.136.202: ICMP echo reply, id 1, seq 36567, length 40
16:24:56.258121 IP 213.141.136.202 > 213.141.131.228: ICMP echo request, id 1, seq 36568, length 40
16:24:56.259891 IP 213.141.131.228 > 213.141.136.202: ICMP echo reply, id 1, seq 36568, length 40
16:24:57.261020 IP 213.141.136.202 > 213.141.131.228: ICMP echo request, id 1, seq 36569, length 40
16:24:57.262908 IP 213.141.131.228 > 213.141.136.202: ICMP echo reply, id 1, seq 36569, length 40
16:24:58.263570 IP 213.141.136.202 > 213.141.131.228: ICMP echo request, id 1, seq 36570, length 40
16:24:58.265345 IP 213.141.131.228 > 213.141.136.202: ICMP echo reply, id 1, seq 36570, length 40
16:24:59.266205 IP 213.141.136.202 > 213.141.131.228: ICMP echo request, id 1, seq 36571, length 40
16:24:59.268045 IP 213.141.131.228 > 213.141.136.202: ICMP echo reply, id 1, seq 36571, length 40
^C1070 packets captured
1070 packets received by filter
0 packets dropped by kernel


Ваш Роутинг будет выглядеть примерно так:

Код
[root@gateway ~]# ip -4 route show table all type unicast
213.141.136.200/29 dev eth2  proto kernel  scope link  src 213.141.136.201
213.141.128.0/20 via 176.77.0.1 dev eth1.10
213.141.144.0/20 via 176.77.0.1 dev eth1.10
213.141.128.0/19 dev eth0.10  proto kernel  scope link  src 213.141.131.88
176.77.0.0/17 dev eth1.10  proto kernel  scope link  src 176.77.29.219
default via 176.77.0.1 dev eth1.10


--------------------
We are Furry Представитель NekoNET, немного пуссортю
 
+Цитировать сообщение
spy
сообщение 28.9.2014, 19:49
Сообщение #10


Психопат
Иконка группы

Группа: Модераторы
Сообщений: 4898
Регистрация: 27.8.2006
Пользователь №: 18505
Спасибо сказали: 264 раз(а)



Koini
У тебя эта услуга еще работает? Мне какой-то <beep> ее отключил, стоило только начать гонять трафик по адресам.
 
+Цитировать сообщение
Koini
сообщение 26.10.2014, 0:54
Сообщение #11


Местный


Группа: Пользователи
Сообщений: 1064
Регистрация: 9.10.2007
Из: Default City
Пользователь №: 31675
Спасибо сказали: 43 раз(а)



работает.


--------------------
We are Furry Представитель NekoNET, немного пуссортю
 
+Цитировать сообщение

Ответить в данную темуНачать новую тему
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0



© 2005—2016 ООО «Нэт Бай Нэт Холдинг»,
Все права защищены.
Правила пользования ресурсами