面临的挑战: 双ISP=>1个内网IP的SNAT/DNAT是否可能?

cefs99

有人做过类似的事情吗? \r\n\r\n一台电脑3个网卡.1个网卡eth0接内网,其余2个分别接2个不同的ISP. 不同ISP都分别给了不同的公网IP.目的是无论用户访问那个IP都可以通过iptables的设置把数据转发给内网的WWW服务器. 同时内部员工可以用更好的带宽上网.\r\n\r\n\r\n我实现了合并2个ISP带宽供内部员工上网,参考如下网址:\r\nhttp://www.chinaitpower.com/2005September/2005-09-13/207221.html\r\n\r\n我实现了允许外网访问内部的WWW服务器:\r\n\r\n#10.134.1.200 is the DMZ WWW server.\r\n#for ISP1\r\n\r\niptables -A PREROUTING -t nat -i eth1 -d 97.158.253.26 \\ --dport 80 --sport 1024:65535 -j DNAT --to-destination 192.168.1.100\r\n\r\niptables -t nat -A POSTROUTING -s 192.168.1.100 -o eth1 \\\r\n-j SNAT --to-source 97.158.253.26\r\n\r\niptables -A FORWARD -p tcp -i eth1 -o eth0 -d 192.168.1.100 \\ --dport 80 -m state --state NEW -j ACCEPT\r\n\r\n# Allow forwarding for all New and Established SNAT connections\r\n# originating on the home network AND already established\r\n# DNAT connections\r\niptables -A FORWARD -t filter -o eth1 -m state \\\r\n--state NEW,ESTABLISHED,RELATED -j ACCEPT\r\n\r\n# Allow forwarding for all 1:1 NAT connections originating on the Internet that have already passed through the NEW forwarding statements above\r\n\r\niptables -A FORWARD -t filter -i eth0 -m state \\\r\n--state ESTABLISHED,RELATED -j ACCEPT\r\n\r\n注意:上面2个任务是分别实现的. \r\n\r\n问题出现在当我同时在这台LINUX,UBUNTU 5.10/KERNEL 2.6.20,上实现上面2个任务时. 外部互联网用户无法再正常访问我们的内部WWW服务器.\r\n\r\n我用TCPDUMP检查发现只能收到通过连接ISP网关进来的包:\r\n22:38:41.582040 IP 208.13.87.119.42929 > 65-115-71-34.www: S 2305269667:2305269667(0) win 5840 <mss 1460>\r\n\r\n但是没有内部的应答包. 在那台WWW服务器上用TCPDUMP监听没有收到任何包.\r\n\r\n因为执行PREROUTING,POSTROUTING和FORWARD的代码我觉得没有问题(如果有,欢迎批评).我怀疑问题处在内部的路由上.但是不能确定.\r\n\r\n\r\n谢谢,

cefs99

我现在能考虑到的一个可能问题就是.如果给予2个ISP的网关同样的权重,也就是理论上的完全负载平衡(基于round robin随机算法),那么从互联网进来访问WWW服务器的路由就会出现问题.\r\n\r\n譬如说table 10 和table 20,这2个路由表,分别用不同的ISP 网关. \r\n\r\n如果ISP1给了一个公网IP 211.157.99.11,用eth1, 我做了SNAT/DNAT使得所有访问这个IP 80端口的数据都转发到内部WWW服务器10.134.1.100/eth0上. \r\n\r\n如果ISP2给了一个公网IP 211.170.43.88/eth2, 我做了SNAT/DNAT使得所有访问这个IP 80端口的数据同样都转发到内部WWW服务器10.134.1.100/eth0上. \r\n\r\n现在有一个来自72.140.176.65的包访问211.157.99.11. 理论上会出现这种情况:\r\n\r\n这个包的原始源地址和目标地址为\r\npacket source address         Interface                  packet destination address\r\n72.140.176.65                 来自   eth1                   211.157.99.11\r\n               \r\n经过DNAT转换,这个包的源地址和目标地址变为\r\npacket source address                           packet destination address\r\n72.140.176.65                                       10.134.1.100\r\n\r\n根据内部路由,所有到10.134.1.0/24的包走eth0.正常到达内部WWW服务器\r\n\r\n那么在回来的时候有可能会这样:\r\n\r\n\r\n内部WWW服务器的应答包的原始源地址和目标地址为\r\npacket source address         Interface                  packet destination address\r\n10.134.1.100                 来自   eth0                   72.140.176.65\r\n               \r\n这时查询内部路由表如何处理到72.140.176.65的包. 因为是基于round robin的随机负载均衡算法, 2个ISP的路由表应该是等价的.就可能会说走ISP2的网关,eth2!\r\n\r\n经过SNAT转换,在到达eth2之前,这个包的源地址和目标地址变为\r\n\r\npacket source address           Interface                packet destination address\r\n211.170.43.88                    从 eth2 出去                    72.140.176.65\r\n\r\n这就乱套了. 72.140.176.65根本没有向ISP2 的211.170.43.88这个地址发送过包! \r\n\r\n所以我的初步结论是,如故连接2个ISP的网关同时为内网用户提供浏览网站以及发布内部WWW等服务器供外部用户访问, 只能指定唯一的路由. 或者ISP1,或者ISP2.不能同时用.

olmsec

你搞错了NAT的概念\r\n你文中的内部WWW服务器的应答包只可能根据DNAT规则转换成\r\npacket source address           Interface                packet destination address\r\n211.157.99.11                  从 eth2 出去                    72.140.176.65

古

不好意思，我在外地干活，没仔细看你那么多字。\r\n我个人看法：\r\n因为我刚做过一个与你同样应用的项目，所以发表浅见；你试试配置策略路由看看应该没问题了，另外怀疑你2个公网dnat到一个ip可能还存在问题，可把服务器配置2个ip（可以是同一个网卡）。\r\n\r\n有问题再讨论。