亚洲av成人无遮挡网站在线观看,少妇性bbb搡bbb爽爽爽,亚洲av日韩精品久久久久久,兔费看少妇性l交大片免费,无码少妇一区二区三区

  免費注冊 查看新帖 |

Chinaunix

  平臺 論壇 博客 文庫
最近訪問板塊 發(fā)新帖
查看: 6153 | 回復(fù): 7
打印 上一主題 下一主題

[網(wǎng)絡(luò)子系統(tǒng)] iptables 打標(biāo)記+iproute2 fwmark 方式做雙出口負(fù)載均衡 返回數(shù)據(jù)包無法進(jìn)行nat轉(zhuǎn)換 [復(fù)制鏈接]

論壇徽章:
0
跳轉(zhuǎn)到指定樓層
1 [收藏(0)] [報告]
發(fā)表于 2016-02-25 16:55 |只看該作者 |倒序瀏覽
5可用積分
實際測試的服務(wù)器采用debian6(內(nèi)核2.6.32)

配置如下:
eth0:外網(wǎng)1,接口IP:10.0.1.2/24 網(wǎng)關(guān):10.0.1.1
eth1:外網(wǎng)2,接口IP:10.0.2.2/24 網(wǎng)關(guān):10.0.2.1
eth2:內(nèi)網(wǎng),接口IP:192.168.10.0/24
內(nèi)網(wǎng)測試PC ,IP:192.168.10.120 通過交換機連接到eth2



設(shè)置iptables:對內(nèi)網(wǎng)IP 192.168.10.120 打標(biāo)簽1
iptables -t mangle -A  PREROUTING -s 192.168.10.120    -j MARK --set-mark 0x1


設(shè)置nat:
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth1 -j MASQUERADE

設(shè)置兩個策略路由表table10和table20:
ip route add default via 10.0.1.1 table 10   
ip route add 192.168.10.0/24 dev eth2 table 10
ip route add default via 10.0.2.1 table 20   
ip route add 192.168.10.0/24 dev eth2 table 20

設(shè)置策略路由規(guī)則:、標(biāo)志位1的走出口eth0
/bin/ip rule add fwmark 1 priority 100 table 10

通過以上配置后發(fā)現(xiàn)無法上網(wǎng),tcpdump顯示返回數(shù)據(jù)包無法進(jìn)行nat轉(zhuǎn)換!
例如 在PC 上  ping 218.201.25.131
在eth2 上只能抓到 源地址為192.168.10.120 目的地址為218.201.25.131 的request 包  沒有reply包
在eth0 上可以抓到 源地址為10.0.1.2 目的地址為218.201.25.131 的request 包  和 源地址為218.201.25.131 目的地址為10.0.1.2 的reply  包

最佳答案

查看完整內(nèi)容

檢查一下conntrack,按理說conntrack會把返回報文的目的ip改成內(nèi)網(wǎng)ip的(關(guān)注一下應(yīng)答方向的的counter是不是在增加)。同時檢查一下ip route cache,對應(yīng)答報文(注意是dnat后的,即目的ip已被修改為內(nèi)網(wǎng)ip)的路由是不是eth0?會不會是反向路由檢查的限制(檢查一下接口的rp_filter配置)?對于dnat之后的應(yīng)答報文(來自eth0)218.201.25.131 -> 192.160.10.120,如果rp_filter開啟,會內(nèi)部檢查一下,逆向的報文(192.160.10.120- ...

論壇徽章:
20
程序設(shè)計版塊每日發(fā)帖之星 日期:2015-08-17 06:20:00程序設(shè)計版塊每日發(fā)帖之星 日期:2016-07-16 06:20:00程序設(shè)計版塊每日發(fā)帖之星 日期:2016-07-18 06:20:00每日論壇發(fā)貼之星 日期:2016-07-18 06:20:00黑曼巴 日期:2016-12-26 16:00:3215-16賽季CBA聯(lián)賽之江蘇 日期:2017-06-26 11:05:5615-16賽季CBA聯(lián)賽之上海 日期:2017-07-21 18:12:5015-16賽季CBA聯(lián)賽之青島 日期:2017-09-04 17:32:0515-16賽季CBA聯(lián)賽之吉林 日期:2018-03-26 10:02:16程序設(shè)計版塊每日發(fā)帖之星 日期:2016-07-15 06:20:0015-16賽季CBA聯(lián)賽之江蘇 日期:2016-07-07 18:37:512015亞冠之薩濟拖拉機 日期:2015-08-17 12:21:08
2 [報告]
發(fā)表于 2016-02-25 16:55 |只看該作者
檢查一下conntrack,按理說conntrack會把返回報文的目的ip改成內(nèi)網(wǎng)ip的(關(guān)注一下應(yīng)答方向的的counter是不是在增加)。

同時檢查一下ip route cache,對應(yīng)答報文(注意是dnat后的,即目的ip已被修改為內(nèi)網(wǎng)ip)的路由是不是eth0?

會不會是反向路由檢查的限制(檢查一下接口的rp_filter配置)?

對于dnat之后的應(yīng)答報文(來自eth0)218.201.25.131 -> 192.160.10.120,
如果rp_filter開啟,會內(nèi)部檢查一下,逆向的報文(192.160.10.120->218.201.25.131)是不是從eth0出去。
注意這個過程沒有iptables的參與,也就打不上mark,也就無法進(jìn)入table10/20,只能走默認(rèn)路由eth1,
這跟eth0不匹配, 相應(yīng)的rt_cache的in_martian_src計數(shù)會增加。

搜素fib_validate_source
http://lxr.free-electrons.com/source/net/ipv4/fib_frontend.c#L409

論壇徽章:
20
程序設(shè)計版塊每日發(fā)帖之星 日期:2015-08-17 06:20:00程序設(shè)計版塊每日發(fā)帖之星 日期:2016-07-16 06:20:00程序設(shè)計版塊每日發(fā)帖之星 日期:2016-07-18 06:20:00每日論壇發(fā)貼之星 日期:2016-07-18 06:20:00黑曼巴 日期:2016-12-26 16:00:3215-16賽季CBA聯(lián)賽之江蘇 日期:2017-06-26 11:05:5615-16賽季CBA聯(lián)賽之上海 日期:2017-07-21 18:12:5015-16賽季CBA聯(lián)賽之青島 日期:2017-09-04 17:32:0515-16賽季CBA聯(lián)賽之吉林 日期:2018-03-26 10:02:16程序設(shè)計版塊每日發(fā)帖之星 日期:2016-07-15 06:20:0015-16賽季CBA聯(lián)賽之江蘇 日期:2016-07-07 18:37:512015亞冠之薩濟拖拉機 日期:2015-08-17 12:21:08
3 [報告]
發(fā)表于 2016-02-26 18:17 |只看該作者
本帖最后由 nswcfd 于 2016-03-02 10:39 編輯

負(fù)載均衡在哪里體現(xiàn)的?

論壇徽章:
20
程序設(shè)計版塊每日發(fā)帖之星 日期:2015-08-17 06:20:00程序設(shè)計版塊每日發(fā)帖之星 日期:2016-07-16 06:20:00程序設(shè)計版塊每日發(fā)帖之星 日期:2016-07-18 06:20:00每日論壇發(fā)貼之星 日期:2016-07-18 06:20:00黑曼巴 日期:2016-12-26 16:00:3215-16賽季CBA聯(lián)賽之江蘇 日期:2017-06-26 11:05:5615-16賽季CBA聯(lián)賽之上海 日期:2017-07-21 18:12:5015-16賽季CBA聯(lián)賽之青島 日期:2017-09-04 17:32:0515-16賽季CBA聯(lián)賽之吉林 日期:2018-03-26 10:02:16程序設(shè)計版塊每日發(fā)帖之星 日期:2016-07-15 06:20:0015-16賽季CBA聯(lián)賽之江蘇 日期:2016-07-07 18:37:512015亞冠之薩濟拖拉機 日期:2015-08-17 12:21:08
4 [報告]
發(fā)表于 2016-02-26 18:40 |只看該作者
默認(rèn)路由是什么?

論壇徽章:
0
5 [報告]
發(fā)表于 2016-03-02 09:45 |只看該作者
默認(rèn)路由設(shè)置的eth1 口

論壇徽章:
20
程序設(shè)計版塊每日發(fā)帖之星 日期:2015-08-17 06:20:00程序設(shè)計版塊每日發(fā)帖之星 日期:2016-07-16 06:20:00程序設(shè)計版塊每日發(fā)帖之星 日期:2016-07-18 06:20:00每日論壇發(fā)貼之星 日期:2016-07-18 06:20:00黑曼巴 日期:2016-12-26 16:00:3215-16賽季CBA聯(lián)賽之江蘇 日期:2017-06-26 11:05:5615-16賽季CBA聯(lián)賽之上海 日期:2017-07-21 18:12:5015-16賽季CBA聯(lián)賽之青島 日期:2017-09-04 17:32:0515-16賽季CBA聯(lián)賽之吉林 日期:2018-03-26 10:02:16程序設(shè)計版塊每日發(fā)帖之星 日期:2016-07-15 06:20:0015-16賽季CBA聯(lián)賽之江蘇 日期:2016-07-07 18:37:512015亞冠之薩濟拖拉機 日期:2015-08-17 12:21:08
6 [報告]
發(fā)表于 2016-03-02 10:29 |只看該作者
不好意思,之前沒看到table 10、table 20里的default路由。

招聘 : c/c++研發(fā)
論壇徽章:
0
7 [報告]
發(fā)表于 2016-03-15 17:55 |只看該作者
-MARK是將對應(yīng)的數(shù)據(jù)包打上mark值
-CONNMARK是將數(shù)據(jù)包對應(yīng)的流打上mark值
你這里用-MARK只是對出去的數(shù)據(jù)包打了mark,對返回的數(shù)據(jù)包,由于沒有匹配iptables -t mangle -A  PREROUTING -s 192.168.10.120    -j MARK --set-mark 0x1,所以返回的數(shù)據(jù)包沒打上mark,自然也沒法在table 10里面找路由了。
您需要登錄后才可以回帖 登錄 | 注冊

本版積分規(guī)則 發(fā)表回復(fù)

  

北京盛拓優(yōu)訊信息技術(shù)有限公司. 版權(quán)所有 京ICP備16024965號-6 北京市公安局海淀分局網(wǎng)監(jiān)中心備案編號:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年舉報專區(qū)
中國互聯(lián)網(wǎng)協(xié)會會員  聯(lián)系我們:huangweiwei@itpub.net
感謝所有關(guān)心和支持過ChinaUnix的朋友們 轉(zhuǎn)載本站內(nèi)容請注明原作者名及出處

清除 Cookies - ChinaUnix - Archiver - WAP - TOP