论坛徽章:: 1

电梯直达

1楼 [收藏(0)] [报告]

发表于 2013-08-04 17:34 |只看该作者 |倒序浏览

本帖最后由 dbsrv 于 2013-08-06 16:36 编辑

centos 5.5，eth1接内网，2个ISP联通、电信，接入eth0，用8021q模块实现子接口，IP_UNICOM，IP_TELECOM。
用静态路由导入联通、电信的全路由表可以，但这样工作量很繁，路由表也很乱，而且对于一个客户端来说，这个双IP主机其实只有一个IP。所以用策略路由，即使当前网速很好的地址故障，通过另一个IP仍然可以接入服务端。目前，任意一个外部主机都可以同时访问到这两个IP。

联通IP走主路由表，电信IP用其他路由表
ip route add 0/0 via $GW_UNICOM
ip route add 0/0 via $GW_TELECOM table 202
ip rule add from IP_TELECOM table RT_TELECOM

现这个linux要为内网一台服务器发布一个udp端口，
PREROUTING -i eth0.201 -p udp --dport 23456 -j DNAT --to $SRV
PREROUTING -i eth0.202 -p udp --dport 23456 -j DNAT --to $SRV

想实现这样的功能：
从联通接口进入的访问，服务器回应时通过联通的接口。
从电信接口进入的访问，服务器回应时通过电信的接口。

目前的配置方式，无论是用户通过哪个接口进入，服务器回应的数据包在经过网关时，都会通过网关这个linux的默认路由表回应，即联通的出口。
FORWARD -j ACCEPT
POSTROUTING -o eth1.201 -j SNAT --to $IP_UNICOM
POSTROUTING -o eth1.202 -j SNAT --to $IP_TELECOM

mangle行么？我没思路，想不明白这个标记应该怎么打。

文库|博客

2008ohmygod

稍有积蓄

论坛徽章:: 3

2楼 [报告]

发表于 2013-08-05 15:06 |只看该作者

内网服务器上配置两个 ip，网关上使用 ip rule from xxxx table xxx 呢？

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

dbsrv

家境小康

论坛徽章:: 1

3楼 [报告]

发表于 2013-08-05 15:42 |只看该作者

回复 2# 2008ohmygod

好主意，去试试。谢谢。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

dbsrv

家境小康

论坛徽章:: 1

4楼 [报告]

发表于 2013-08-05 16:16 |只看该作者

本帖最后由 dbsrv 于 2013-08-05 17:16 编辑

回复 2# 2008ohmygod

忘了说了，后端的服务主机是windows的，配俩IP，A1/A2，这个内网主机对外的出口回包都是一个IP，到了网关，网关还是分不出来……

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

2008ohmygod

稍有积蓄

论坛徽章:: 3

5楼 [报告]

发表于 2013-08-05 17:47 |只看该作者

本帖最后由 2008ohmygod 于 2013-08-05 17:50 编辑

回复 4# dbsrv

我感觉外网访问 windows 的回包应该能正确路由。

windows 主动的包，ip地址源地址应该不变。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

dbsrv

家境小康

论坛徽章:: 1

6楼 [报告]

发表于 2013-08-05 20:16 |只看该作者

本帖最后由 dbsrv 于 2013-08-05 20:42 编辑

http://www.sunjianhe.com/?p=1095
找到篇文章，摘抄并修改一下，把他的eth1电信换成了eth1.202，联通eth2换成了eth1.201。
不过没解决，用tcpdump看，反倒是两个方向的访问数据包都在一个子接口进出里了。

rt_tables和ip rule部分略

#对通过联通IP进来的数据在链接跟踪记录上打标记100，通过电信IP进来的数据在链接跟踪记录上打上标记200
iptables -t mangle -A PREROUTING -i eth1.201 -m conntrack  –-ctstate NEW  -j CONNMARK –set-mark 0x100
iptables -t mangle -A PREROUTING -i eth1.202 -m conntrack  –-ctstate NEW  -j CONNMARK –set-mark 0x200

#转发出去的数据打上标记，同上
iptables -t mangle -A POSTROUTING -o eth1.201  -m conntrack  --ctstate NEW  -j CONNMARK –set-mark 0x100
iptables -t mangle -A POSTROUTING -o eth1.202  -m conntrack  --ctstate NEW  -j CONNMARK –set-mark 0x200

#转发到内网的数据包从链接跟踪记录还原标记到数据包中的mark字段
iptables -t mangle -A PREROUTING -i eth0 -m conntrack --ctstate ESTABLISHED,RELATED -j CONNMARK --restore-mark

#本地出去的数据包从链接跟踪记录还原标记到数据包中的mark字段
iptables -t mangle -A OUTPUT -m conntrack --ctstate ESTABLISHED,RELATED -j CONNMARK --restore-mark

#关键，策略路由发现标识为200的数据包走电信网关，标识为100的数据包走联通网关
ip rule add fwmark 0×100 table 201
ip rule add fwmark 0×200 table 202

4，端口映射

iptables -t nat -A PREROUTING -p udp --dport 20000 -j DNAT –to $SRV
iptables -t nat -A POSTROUTING -s $NET_LAN -o eth1.201 -j SNAT --to $IP_UNICOM
iptables -t nat -A POSTROUTING -s $NET_LAN -o eth1.202 -j SNAT --to $IP_TELECOM