多重上連ISP，原路返回路由應該怎么寫？

rockety

我們網(wǎng)關的網(wǎng)絡環(huán)境：

• eth0：接網(wǎng)通，IP地址：$CNC_IP，網(wǎng)關$CNC_Gateway_IP，網(wǎng)段$CNC_IP_0/24
• eth3：接鐵通，IP地址：$CRTC_IP，網(wǎng)關$CRTC_Gateway_IP，網(wǎng)段$CRTC_IP_0/28
• eth4：接電信，IP地址：$CHINANET_IP，網(wǎng)關$CHINANET_Gateway_IP，網(wǎng)段$CHINANET_IP_0/24
• eth2：接內(nèi)網(wǎng)，IP地址：192.168.254.2

1. $ ip route
   
2. 
   
3. $CRTC_IP_0/28 dev eth3  proto kernel  scope link  src $CRTC_IP
   
4. $CNC_IP_0/24 dev eth0  proto kernel  scope link  src $CNC_IP
   
5. $CHINANET_IP_0/24 dev eth4  proto kernel  scope link  src $CHINANET_IP
   
6. 192.168.254.0/24 dev eth2  proto kernel  scope link  src 192.168.254.2
   
7. 192.168.0.0/16 via 192.168.254.1 dev eth2
   
8. default via $CNC_Gateway_IP dev eth0  metric 100

復制代碼

我在 /etc/iproute2/rt_tables 中加了以下三張表：

1. 200 CNC
   
2. 199 CHINANET
   
3. 198 CRTC

復制代碼

然后做了以下路由策略：

1. # 內(nèi)網(wǎng)路由
   
2. ip route add 192.168.0.0/16 via 192.168.254.1 dev eth2
   
3. 
   
4. # 各路由表默認規(guī)則
   
5. ip route add default via $CHINANET_Gateway_IP dev eth4 table CHINANET
   
6. ip route add default via $CRTC_Gateway_IP dev eth3 table CRTC
   
7. ip route add default via $CNC_Gateway_IP dev eth0 table CNC
   
8. 
   
9. # 鐵通路由策略
   
10. ip rule add to 202.0.160.0/20 table CRTC prio 210
    
11. ip rule add to 202.0.176.0/22 table CRTC prio 210
    
12. ...
    
13. ...
    
14. # 電信路由策略
    
15. ip rule add to 58.32.0.0/11 table CHINANET prio 200
    
16. ip rule add to 58.208.0.0/12 table CHINANET prio 200
    
17. ...
    
18. ...

復制代碼

內(nèi)網(wǎng)用戶上網(wǎng)沒問題，可以根據(jù)網(wǎng)站IP自動走相應的網(wǎng)絡出口出去。但遇到的問題是：網(wǎng)關上同時部署有 web 服務，該 web 服務的域名是 www.example.com 指向 IP 地址 $CNC_IP。結果造成電信用戶和移動（鐵通）用戶不能訪問 www.example.com。

覺得應該是由于訪問請求從網(wǎng)通接口進來，但響應包卻從電信或鐵通接口出去造成的。參考了網(wǎng)上的貼子和《linux高級路由和流量控制》，原路返回路由基本都同本版精華帖雙線策略路由的三種實現(xiàn)方式總結＋端口映射中的寫法一樣，主要是這么一句：

1. ip rule add from $CNC_IP table CNC
   
2. ip rule add from $CRTC_IP table CRTC
   
3. ip rule add from $CHINANET_IP table CHINANET

復制代碼

但這種寫法究竟是什么意思？我試過了，完全沒有效果。

請大家伙賜教��！

[ 本帖最后由 rockety 于 2009-5-14 10:39 編輯 ]

chenyx

在DNS上做view吧,不同的客戶ip dns返回不同的ip

rockety

原帖由 chenyx 于 2009-5-14 10:42 發(fā)表
在DNS上做view吧,不同的客戶ip dns返回不同的ip

這個要由 域名注冊商 提供服務支持吧，我們自己沒辦法做吧，應該？

在風中飄蕩

ip rule add fwmark 1 table ctc
ip rule add fwmark 2 table cnc
ip rule add fwmark 3 table crtc
iptables -t mangle -A PREROUTING -i eth0 -m conntrack --ctstate NEW  -j CONNMARK --set-mark 0x1
iptables -t mangle -A PREROUTING -i eth1 -m conntrack --ctstate NEW  -j CONNMARK --set-mark 0x2
iptables -t mangle -A PREROUTING -i eth2 -m conntrack --ctstate NEW  -j CONNMARK --set-mark 0x3
iptables -t mangle -A POSTROUTING -o eth0 -m conntrack  --ctstate NEW  -j CONNMARK --set-mark 0x1
iptables -t mangle -A POSTROUTING -o eth1 -m conntrack  --ctstate NEW  -j CONNMARK --set-mark 0x2
iptables -t mangle -A POSTROUTING -o eth2 -m conntrack  --ctstate NEW  -j CONNMARK --set-mark 0x3
iptables -t mangle -A PREROUTING -i eth3 -m conntrack --ctstate ESTABLISHED,RELATED -j CONNMARK --restore-mark
iptables -t mangle -A OUTPUT -m conntrack --ctstate ESTABLISHED,RELATED -j CONNMARK --restore-mark

rockety

原帖由 在風中飄蕩 于 2009-5-14 11:36 發(fā)表
ip rule add fwmark 1 table ctc
ip rule add fwmark 2 table cnc
ip rule add fwmark 3 table crtc
iptables -t mangle -A PREROUTING -i eth0 -m conntrack --ctstate NEW  -j CONNMARK --set-mark 0x1
...

OK，搞定，謝謝您了。

chenyx

學習了