Multipath routing, inbound setup

[exo]

Както може би сте се досетили искам да направя рутерче (Линукс базирано разбира се) според схемата описана на тази страница.

Правил съм такова нещо с балансиране на двата нета и с failover, но не и при forward-нати портове от вътрешната мрежа.

До колкото разбрах, не е възможно да се направи това което искам, защото при взимане на routing decision може да стане каша, относно входящия трафик към forward-натите портове на вътрешната мрежа.

Или както пишеше някъде в нета:

There are four paths to take from here.

1. Don't run any internal servers.

2. Make sure servers always go in the same ISP

3. Point to Point Host base solution

4. Socket to Socket Connection based solution

 

Точка 1 не е решение за мен, за точка две имам нужда от помощ, а точки 3 и 4 дори не знам какво представляват

 

Ще съм благодарен ако някой сподели малко опит в тази насока. Възможно ли е да се направи това и ако да как?

 

Благодаря за отделеното време

[Godfather]

Трябва да използваш частен случай на policy routing, в който маршрутизацията на всички изходящи пакети от въпросните сървъри се осъществява само през единия от интерфейсите (маршрутизацията се осъществява на базата на source IP адресите на въпросните сървъри). В този случай обаче трябва да се внимава IP forwarding-а на входящите пакети винаги трябва да става само за външния адрес на въпросния интерфейс, т.е. през втория не трябва да има никакъв forwarding на портове.

Ако да речем T1 е таблицата за маршрутизацията през първия интерфейс, съответно интернет доставчик (следвайки описанието от цитирания линк) и искаш трафика от/към локалните сървъри да минава от там, то тогава трябва да се добави следната маршрутизация:

 

ip rule add from $ServerIP table T1

 

където ServerIP е адреса на сървъра, който приема forward-ните пакети от същия този интерфейс. Просто цялата тънкост в случая е, че когато имаш port-forwarding, не можеш да правиш load-balancing или други подобни ефекти и трябва да се определи само един маршрут, по който да преминава трафика от/към дадения вътрешен сървър.

[exo]

Просто цялата тънкост в случая е, че когато имаш port-forwarding, не можеш да правиш load-balancing или други подобни ефекти и трябва да се определи само един маршрут, по който да преминава трафика от/към дадения вътрешен сървър.

 

Това важи за целият трафик в мрежата или само за даденият сървър Казано иначе мога ли да правя така:

 

ip route add default scope global nexthop via $isp1_gate dev eth1 weight 2 nexthop via $isp2_gate dev eth2 weight 1

 

(където isp1_gate и isp2_gate са съответно default gateway на първия и втория доставчик)

 

ако преди това съм въвел и правилото което ти казваш, касаещо даденият сървър

 

Тоест не мога да правя баланс за този сървър, но иначе баланс за трафикът от вътрешната мрежа може да се прави ... или не

[Godfather]

Load-balancing правилото, за което говориш не трябва да пречи на статичните маршрутизации (каквито са на пракитка тези policy routing настройки), които винаги са с приоритет и се изпълняват първи.

[exo]

Load-balancing правилото, за което говориш не трябва да пречи на статичните маршрутизации (каквито са на пракитка тези policy routing настройки), които винаги са с приоритет и се изпълняват първи.

 

Аха, ок благодаря за помоща Ще пробвам и ще пиша за резултата

 

EDIT: Какво правя обаче ако имам отворен порт на самия рутер (за даден сървис)

[Godfather]

EDIT: Какво правя обаче ако имам отворен порт на самия рутер (за даден сървис)

В този случай ще трябва да смениш или порта на сървиса на рутера, или порта на въпросния сървър. Няма как да се ползват двете едновременно.

[exo]

В този случай ще трябва да смениш или порта на сървиса на рутера, или порта на въпросния сървър. Няма как да се ползват двете едновременно.

 

Не, нямам предвид това Какво ще стане ако да речем на същия рутер ми върви и уеб сървър или ssh, ако приемем че слуша на всички nic - дали ще е нормално достъпен, дали няма да става каша при взимане на решение за рутиране (клиента е вързан на едният nic а отговорът излиза от друг nic)

[Godfather]

Не, нямам предвид това Какво ще стане ако да речем на същия рутер ми върви и уеб сървър или ssh, ако приемем че слуша на всички nic - дали ще е нормално достъпен, дали няма да става каша при взимане на решение за рутиране (клиента е вързан на едният nic а отговорът излиза от друг nic)

За всякакви сървиси на самия рутер просто трябва да отвориш портовете на тези сървиси само на единия от интерфейсите, като въпросните стрвиси (например апачи уеб сървър) трябва да е настроен само за IP адреса на този интерфейс.