Re: [GTER] Roteamento avançado: identificação de pacotes
Rubens Kuhl Jr.
rubensk at gmail.com
Thu May 18 23:52:10 -03 2006
> São tantos problemas que as vezes fico até chateado de continuar
> perturbando-o. Seguinte. Analisando tudo de forma melhor hoje
> verifiquei que a solução em SNAT não funcionou. Creio que o motivo
> seja simples, como as regras eram sequenciais, ele passou a fazer SNAT
> sempre com o endereço especificado na primeira regra. Creio que seja
> este o problema. Eu fiz o SNAT da seguinte maneira:
>
> $IPT -A POSTROUTING -t nat -s 172.16.0.0/16 -o $IFWAN -j lab-net
> $IPT -t nat -A lab-net -j SNAT --to 200.241.189.130
> $IPT -t nat -A lab-net -j SNAT --to 200.199.217.66
Sim, ele precisa de algum critério. No exemplo que citei, o critério
eram as interfaces distintas, e a separação com -o.
> Ainda estou trabalhando com apenas uma interface. Ocorre que o
> ambiente esta em produção e é MUITO complicado desligá-lo durante a
> semana. Ainda bem q domingo esta chegando.
Entendo, mas essa idéia de SNAT depende de usar duas interfaces
distintas para a saída.
No caso da DMZ e dos pacotes gerados localmente, dá para usar SNAT com
parâmetro -s com os IPs da EBT e BRT e das DMZs para sair pelo link
certo, mas no caso de balanceamento, você precisaria saber qual
gateway foi escolhido. Só se houvesse um patch que fizesse match do
nexthop, algo que já foi proposto mas nunca chegou ao patch-o-matic ou
ao kernel.
Rubens
More information about the gter
mailing list