У меня есть система с двумя интерфейсами. Оба интерфейса подключены к Интернету. Один из них установлен как маршрут по умолчанию; побочным эффектом этого является то, что если пакет поступает на интерфейс не-default-route, ответ отправляется обратно через интерфейс маршрута по умолчанию. Есть ли способ использовать iptables (или что-то еще) для отслеживания соединения и отправки ответа обратно через интерфейс, из которого оно получено?
Ответы:
echo 200 isp2 >> /etc/iproute2/rt_tables
ip rule add from <interface_IP> dev <interface> table isp2
ip route add default via <gateway_IP> dev <interface> table isp2
Выше не требуется маркировки пакетов с помощью ipfilter. Это работает, потому что исходящие (ответные) пакеты будут иметь IP-адрес, который первоначально использовался для подключения ко 2-му интерфейсу, в качестве адреса источника (от) в исходящем пакете.
devпараметр в ip ruleкоманде, поэтому запустилip rule add from <interface_IP> table isp2
up ip rule add from <interface_IP> table isp2и up ip route add default via <gateway_IP> dev ppp0 table isp2к / etc / network / interfaces под соответствующим интерфейсом.
dev <interface>из, ip ruleчтобы заставить его работать на моей коробке. Если я правильно понимаю, dev <interface>была фильтрация пакетов, которые были каким-то образом установлены на неправильном интерфейсе, который нужно было переместить в правильный интерфейс по переопределенному маршруту, но фильтрация правил по интерфейсу предотвращала это.
dev <interface>из ip ruleкоманды, чтобы это работало. Пожалуйста, обновите ответ! За исключением этой детали, он работал как шарм. Большое спасибо, @Peter!
Следующие команды создают альтернативную таблицу маршрутизации через eth1для пакетов, которые имеют метку 1 (кроме пакетов для localhost). Команда ipиз пакета iproute2 (Ubuntu: iproute Установить iproute http://bit.ly/software-small , iproute-doc Установить iproute-doc http://bit.ly/software-small ).
ip rule add fwmark 1 table 1
ip route add 127.0.0.0/0 table 1 dev lo
ip route add 0.0.0.0/0 table 1 dev eth1
Другая половина задания распознает пакеты, которые должны получить оценку 1; затем используйте iptables -t mangle -A OUTPUT … -j MARK --set-mark 1эти пакеты для маршрутизации через таблицу маршрутизации 1. Я думаю, что следующее должно сделать это (замените 1.2.3.4 адресом интерфейса не-default-route):
iptables -t mangle -A OUTPUT -m conntrack --ctorigdst 1.2.3.4 -j MARK --set-mark 1
Я не уверен, что этого достаточно, возможно, для входящих пакетов требуется другое правило, чтобы модуль conntrack мог их отслеживать.
У меня были проблемы с локально сгенерированными пакетами с помощью решения, предложенного Питером. Я обнаружил, что следующее исправляет это:
echo 200 isp2 >> /etc/iproute2/rt_tables
ip rule add from <interface_IP> table isp2 priority 900
ip rule add from dev <interface> table isp2 priority 1000
ip route add default via <gateway_IP> dev <interface> table isp2
ip route add <interface_prefix> dev <interface> proto static scope link src <interface_IP> table isp2
ПРИМЕЧАНИЕ. Вы можете столкнуться с проблемами синтаксиса в 4-й строке выше. В таких случаях синтаксис для 4-й команды может быть следующим:
ip rule add iif <interface> table isp2 priority 1000
Я предполагаю, что вы используете Linux и, кроме того, что вы используете дистрибутив RedHat / CentOS. Другие Unix и дистрибутивы потребуют аналогичных шагов - но детали будут другими.
Начните с тестирования (обратите внимание, что это очень похоже на ответ @ Peter. Я предполагаю следующее:
Команды следующие:
$ echo 200 isp1 >> /etc/iproute2/rt_tables
$ ip rule add from eno1 table isp1
$ ip route add default via 192.168.1.1 dev eno1 table isp1
Брандмауэр никак не задействован. Ответные пакеты всегда отправлялись с правильного IP-адреса, но ранее отправлялись через неправильный интерфейс. Теперь эти пакеты с правильного IP будут отправлены через правильный интерфейс.
Предполагая, что вышесказанное сработало, теперь вы можете сделать правило и изменения маршрута постоянными. Это зависит от того, какую версию Unix вы используете. Как и прежде, я предполагаю, что дистрибутив Linux основан на RH / CentOS.
$ echo "from eno1 table isp1" > /etc/sysconfig/network-scripts/rule-eno1
$ echo "default via 192.168.1.1 dev eno1 table isp1" > /etc/sysconfig/network-scripts/route-eno1
Проверьте, что изменение сети является постоянным:
$ ifdown eno1 ; ifup eno1
Если это не сработало, в более поздних версиях RH / CentOS вам также нужно выбрать один из двух вариантов:
Лично я предпочитаю устанавливать пакет правил, так как это более простой и поддерживаемый подход:
$ yum install NetworkManager-dispatcher-routing-rules
Еще одна сильная рекомендация - включить фильтрацию arp, поскольку это предотвращает другие связанные с двойной сетью проблемы. С помощью RH / CentOS добавьте следующее содержимое в файл /etc/sysctl.conf:
net.ipv4.conf.default.arp_filter=1
net.ipv4.conf.all.arp_filter=1