форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Завернуть трафик в обход Gateway"
Сообщение от kazak on 06-Май-05, 10:06  (MSK)
Имеем на сервере 2 внешних интерфейса для выхода в Инет, 2 squid и iptables. Через шлюз по умолчанию (1-й squid) выходит на 1-й канал. Какими способами можно 2-й squid завернуть на 2-й канал?
	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "Завернуть трафик в обход Gateway"
Сообщение от jonatan (??) on 06-Май-05, 10:25  (MSK)
Для squid-2.5 в squid.conf: tcp_outgoing_address 1.2.3.4 где 1.2.3.4 - ip сетевой карты для второго канала. Далее через iproute2 "заворачиваем" трафик с этого ip во второй канал: http://gazette.linux.ru.net/rus/articles/lartc/x348.html
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "Завернуть трафик в обход Gateway"
	Сообщение от kazak on 06-Май-05, 11:23  (MSK)
	>Для squid-2.5 в squid.conf: >tcp_outgoing_address 1.2.3.4 >где 1.2.3.4 - ip сетевой карты для второго канала. Далее через iproute2 >"заворачиваем" трафик с этого ip во второй канал: >http://gazette.linux.ru.net/rus/articles/lartc/x348.html Не совсем понятно, вот указал ip в tcp_outgoing_address. Трафик и так уже должен через указанный ip ходить. Зачем нужно еще его заворачивать? Объясните плз. где я не прав?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "Завернуть трафик в обход Gateway"
	Сообщение от jonatan (??) on 06-Май-05, 11:28  (MSK)
	Вне зависимости от source ip пакет уйдет в default gateway. С помощью iproute2 создаем дополнительную таблицу маршрутизации с другим default gateway и направляем трафик с указанного ip в эту таблицу.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "Завернуть трафик в обход Gateway"
	Сообщение от kazak on 06-Май-05, 11:34  (MSK)
	>Вне зависимости от source ip пакет уйдет в default gateway. Если я правильно понял tcp_outgoing_address - это адрес назначения, а не источника. Или это не имеет значения? С помощью >iproute2 создаем дополнительную таблицу маршрутизации с другим default gateway и направляем трафик с указанного ip в эту таблицу.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "Завернуть трафик в обход Gateway"
	Сообщение от jonatan (??) on 06-Май-05, 12:02  (MSK)
	Читайте внимательней squid.conf: #  TAG: tcp_outgoing_address #       Allows you to map requests to different outgoing IP addresses #       based on the username or sourceaddress of the user making #       the request. # #       tcp_outgoing_address ipaddr [[!]aclname] ... # #       Example where requests from 10.0.0.0/24 will be forwareded #       with source address 10.1.0.1, 10.0.2.0/24 forwarded with #       source address 10.1.0.2 and the rest will be forwarded with #       source address 10.1.0.3. # #       acl normal_service_net src 10.0.0.0/255.255.255.0 #       acl good_service_net src 10.0.1.0/255.255.255.0 #       tcp_outgoing_address 10.0.0.1 normal_service_net #       tcp_outgoing_address 10.0.0.2 good_service_net #       tcp_outgoing_address 10.0.0.3
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "Завернуть трафик в обход Gateway"
	Сообщение от kazak on 06-Май-05, 12:34  (MSK)
	>Читайте внимательней squid.conf: > >#  TAG: tcp_outgoing_address >#       Allows you to map requests >to different outgoing IP addresses >#       based on the username or >sourceaddress of the user making >#       the request. ># >#       tcp_outgoing_address ipaddr [[!]aclname] ... ># >#       Example where requests from 10.0.0.0/24 >will be forwareded >#       with source address 10.1.0.1, 10.0.2.0/24 >forwarded with >#       source address 10.1.0.2 and the >rest will be forwarded with >#       source address 10.1.0.3. ># >#       acl normal_service_net src 10.0.0.0/255.255.255.0 >#       acl good_service_net src 10.0.1.0/255.255.255.0 >#       tcp_outgoing_address 10.0.0.1 normal_service_net >#       tcp_outgoing_address 10.0.0.2 good_service_net >#       tcp_outgoing_address 10.0.0.3 Можно еще уточнить, если мне не нужно разделять трафик достаточно просто указать tcp_outgoing_address X.X.X.X, где X.X.X.X адрес внешнего интерфейса (не default gateway) и далее в iptables настроить маршрутизацию? Спасибо.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "Завернуть трафик в обход Gateway"
	Сообщение от jonatan (??) on 06-Май-05, 12:45  (MSK)
	А как через iptables настроить маршрутизацию? Приведите пример.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "Завернуть трафик в обход Gateway"
	Сообщение от kazak on 06-Май-05, 13:38  (MSK)
	>А как через iptables настроить маршрутизацию? Приведите пример. Честно говоря еще не в курсе, концептуально не понимаю. Пакеты со сквида должны идти на X.X.X.X, согласно параметру: tcp_outgoing_address X.X.X.X Далее как я понимаю пакеты должны идти на шлюз, но не по умолчанию,а на шлюз для интерфейса с ip X.X.X.X Я у Вас раньше уже спрашивал, зачем нужно испльзовать iptables - где я ошибаюсь?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "Завернуть трафик в обход Gateway"
	Сообщение от jonatan (??) on 06-Май-05, 13:48  (MSK)
	>Пакеты со сквида должны идти на X.X.X.X, согласно параметру: >tcp_outgoing_address X.X.X.X Не НА, а С X.X.X.X. Т.е. source ip у исходящих пакетов squid будет ставить X.X.X.X. >Далее как я понимаю пакеты должны идти на шлюз, но не по >умолчанию,а на шлюз для интерфейса с ip X.X.X.X >Я у Вас раньше уже спрашивал, зачем нужно испльзовать iptables - >где я ошибаюсь? В данном случае нужно использовать не iptables, а iproute2, о чем я уже писал.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "Завернуть трафик в обход Gateway"
	Сообщение от kazak on 06-Май-05, 13:58  (MSK)
	>>Пакеты со сквида должны идти на X.X.X.X, согласно параметру: >>tcp_outgoing_address X.X.X.X >Не НА, а С X.X.X.X. Т.е. source ip у исходящих пакетов squid >будет ставить X.X.X.X. Получается опция tcp_outgoing_address нужна только для подмены исходных адресов? И значит в сквиде нет опции форварда пакетов сразу на шлюз. > >>Далее как я понимаю пакеты должны идти на шлюз, но не по >>умолчанию,а на шлюз для интерфейса с ip X.X.X.X >>Я у Вас раньше уже спрашивал, зачем нужно испльзовать iptables - >>где я ошибаюсь? >В данном случае нужно использовать не iptables, а iproute2, о чем я >уже писал. Как это можно сделать с помощью iproute2?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "Завернуть трафик в обход Gateway"
	Сообщение от jonatan (??) on 06-Май-05, 15:03  (MSK)
	>Получается опция tcp_outgoing_address нужна только для подмены исходных адресов? И значит в >сквиде нет опции форварда пакетов сразу на шлюз. Сори, но Вы еще не очень хорошо разобрались с TCP/IP, если задаете такие вопросы. >Как это можно сделать с помощью iproute2? Ссылку я дал. Поищите еще по форуму, я уже несколько раз отвечал на подобные вопросы.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "Завернуть трафик в обход Gateway"
	Сообщение от kazak on 08-Май-05, 11:33  (MSK)
	>>Получается опция tcp_outgoing_address нужна только для подмены исходных адресов? И значит в >>сквиде нет опции форварда пакетов сразу на шлюз. >Сори, но Вы еще не очень хорошо разобрались с TCP/IP, если задаете >такие вопросы. > >>Как это можно сделать с помощью iproute2? >Ссылку я дал. Поищите еще по форуму, я уже несколько раз отвечал >на подобные вопросы. Прочитал доки, сделал все как написано, однако в explorer выдается ошибка: Дополнительная цепочка John 83.128.40.138 - eth1 83.128.40.137 - шлюз на eth1(2-й канал) 192.168.10.12 - клиентская тачка с XP -------------------------------------------------------------------- Произошла следующая ошибка: Ошибка TCP socket. Система сообщила:     (99) Cannot assign requested addressКэш не может создать TCP socket, скорее всего из-за очень высокой загрузки сервера. Пожалуйста, повторите запрос. Если ситуация повторится - сообщите администратору кэша. -------------------------------------------------------------------- 1)В сквиде прописал tcp_outgoing_address 192.168.10.12 2)[root@server root]# ip route list table main 83.128.40.128 via 83.128.40.137 dev eth1 83.128.40.128/28 dev eth1  proto kernel  scope link  src 83.128.40.138 192.168.10.0/24 dev eth0  scope link 127.0.0.0/8 dev lo  scope link default via 194.228.92.109 dev ppp0 3)[root@server root]#ip rule ls 0:      from all lookup local 32765:  from 192.168.10.12 lookup John 32766:  from all lookup main 32767:  from all lookup 253 4)[root@server root]# ip route list table John default via 83.128.40.137 dev eth1
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "Завернуть трафик в обход Gateway"
	Сообщение от kazak on 08-Май-05, 14:10  (MSK)
	Все получилось, когда заменил в squid.conf параметр tcp_outgoing_address на адрес eth1 - 2 канала. Теперь возникла другая проблема, если выполнить iptables -P INPUT DROP, то из локалки да же окошко авторизации на squid не появляется, хотя squid на eth0 работает. Chain INPUT (policy ACCEPT) target     prot opt source               destination ACCEPT     tcp  --  192.168.10.0/24      0.0.0.0/0          tcp dpt:3128 ACCEPT     all  --  0.0.0.0/0            0.0.0.0/0          state RELATED,ESTABLISHED ACCEPT     all  --  127.0.0.1            0.0.0.0/0 ACCEPT     tcp  --  192.168.10.0/24      0.0.0.0/0          tcp dpt:3129 Помогите плз.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.