论坛徽章:: 0

电梯直达

1楼 [收藏(0)] [报告]

发表于 2009-05-14 10:37 |只看该作者 |倒序浏览

我们网关的网络环境：

eth0：接网通，IP地址：$CNC_IP，网关$CNC_Gateway_IP，网段$CNC_IP_0/24
eth3：接铁通，IP地址：$CRTC_IP，网关$CRTC_Gateway_IP，网段$CRTC_IP_0/28
eth4：接电信，IP地址：$CHINANET_IP，网关$CHINANET_Gateway_IP，网段$CHINANET_IP_0/24
eth2：接内网，IP地址：192.168.254.2

$ ip route
$CRTC_IP_0/28 dev eth3 proto kernel scope link src $CRTC_IP
$CNC_IP_0/24 dev eth0 proto kernel scope link src $CNC_IP
$CHINANET_IP_0/24 dev eth4 proto kernel scope link src $CHINANET_IP
192.168.254.0/24 dev eth2 proto kernel scope link src 192.168.254.2
192.168.0.0/16 via 192.168.254.1 dev eth2
default via $CNC_Gateway_IP dev eth0 metric 100

复制代码

我在 /etc/iproute2/rt_tables 中加了以下三张表：

200 CNC
199 CHINANET
198 CRTC

复制代码

然后做了以下路由策略：

# 内网路由
ip route add 192.168.0.0/16 via 192.168.254.1 dev eth2
# 各路由表默认规则
ip route add default via $CHINANET_Gateway_IP dev eth4 table CHINANET
ip route add default via $CRTC_Gateway_IP dev eth3 table CRTC
ip route add default via $CNC_Gateway_IP dev eth0 table CNC
# 铁通路由策略
ip rule add to 202.0.160.0/20 table CRTC prio 210
ip rule add to 202.0.176.0/22 table CRTC prio 210
...
...
# 电信路由策略
ip rule add to 58.32.0.0/11 table CHINANET prio 200
ip rule add to 58.208.0.0/12 table CHINANET prio 200
...
...

复制代码

内网用户上网没问题，可以根据网站IP自动走相应的网络出口出去。但遇到的问题是：网关上同时部署有 web 服务，该 web 服务的域名是 www.example.com 指向 IP 地址 $CNC_IP。结果造成电信用户和移动（铁通）用户不能访问 www.example.com。

觉得应该是由于访问请求从网通接口进来，但响应包却从电信或铁通接口出去造成的。参考了网上的贴子和《linux高级路由和流量控制》，原路返回路由基本都同本版精华帖双线策略路由的三种实现方式总结＋端口映射中的写法一样，主要是这么一句：

ip rule add from $CNC_IP table CNC
ip rule add from $CRTC_IP table CRTC
ip rule add from $CHINANET_IP table CHINANET

复制代码

但这种写法究竟是什么意思？我试过了，完全没有效果。

请大家伙赐教！！

[ 本帖最后由 rockety 于 2009-5-14 10:39 编辑 ]

文库|博客

chenyx

版主

论坛徽章:: 381

2楼 [报告]

发表于 2009-05-14 10:42 |只看该作者

在DNS上做view吧,不同的客户ip dns返回不同的ip

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

rockety

白手起家

论坛徽章:: 0

3楼 [报告]

发表于 2009-05-14 10:52 |只看该作者

原帖由 chenyx 于 2009-5-14 10:42 发表
在DNS上做view吧,不同的客户ip dns返回不同的ip

这个要由 域名注册商 提供服务支持吧，我们自己没办法做吧，应该？

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

在风中飘荡

稍有积蓄

论坛徽章:: 0

4楼 [报告]

发表于 2009-05-14 11:36 |只看该作者

再加下面的iptables规则看看。

ip rule add fwmark 1 table ctc
ip rule add fwmark 2 table cnc
ip rule add fwmark 3 table crtc
iptables -t mangle -A PREROUTING -i eth0 -m conntrack --ctstate NEW  -j CONNMARK --set-mark 0x1
iptables -t mangle -A PREROUTING -i eth1 -m conntrack --ctstate NEW  -j CONNMARK --set-mark 0x2
iptables -t mangle -A PREROUTING -i eth2 -m conntrack --ctstate NEW  -j CONNMARK --set-mark 0x3
iptables -t mangle -A POSTROUTING -o eth0 -m conntrack  --ctstate NEW  -j CONNMARK --set-mark 0x1
iptables -t mangle -A POSTROUTING -o eth1 -m conntrack  --ctstate NEW  -j CONNMARK --set-mark 0x2
iptables -t mangle -A POSTROUTING -o eth2 -m conntrack  --ctstate NEW  -j CONNMARK --set-mark 0x3
iptables -t mangle -A PREROUTING -i eth3 -m conntrack --ctstate ESTABLISHED,RELATED -j CONNMARK --restore-mark
iptables -t mangle -A OUTPUT -m conntrack --ctstate ESTABLISHED,RELATED -j CONNMARK --restore-mark

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

rockety

白手起家

论坛徽章:: 0

5楼 [报告]

发表于 2009-05-14 14:52 |只看该作者

原帖由 在风中飘荡 于 2009-5-14 11:36 发表
ip rule add fwmark 1 table ctc
ip rule add fwmark 2 table cnc
ip rule add fwmark 3 table crtc
iptables -t mangle -A PREROUTING -i eth0 -m conntrack --ctstate NEW -j CONNMARK --set-mark 0x1
...

OK，搞定，谢谢您了。