[MASOCH-L] iproute2 e iptables -j MARK

[Lao DanTong]

On Fri, 2 Feb 2007 edison at coslinux.com.br wrote:

> O iproute2 esta configurado adequadamente e todos os servicos oferecidos
> pela propria maquina sao acessados externamente por qualquer um dos links
> sem problema algum.
>
> O problema esta nos servicos que sao redirecionados para uma outra estacao
> da rede local. Faco DNAT da porta 80 e 443 para uma outra maquina e
> somente as conexoes provindas do link2 (que eh o link default de saida) eh
> que sao estabelecidas.
>
> Para resolver o problema eu precisei criar uma regra (ip rule) para que os
> pacotes vindos dessa maquina de rede local saiam pelo link1 e deu certo.
> Soh que dai, as conexoes provindas do link2 pararam de funcionar.

em primeiro lugar quero perguntar a troco de que você tem uma configuração 
assim. quer redundância nos serviços prestados? bem, esse arranjo não 
serve para isso. no teu lugar eu simplificaria: compraria um link mais 
rápido e abandonaria um deles. além de tudo sai mais barato. e para 
garantir alguma redundancia voce pode implementa-lo por dois caminhos até 
a operadora. agora, se quer independencia de operadora, parta para sistema 
autonomo próprio, endereços próprios e BGP-4.

> Estou pensando em marcar os pacotes (-j MARK) que entram em cada interface
> para que saiam pela mesma posteriormente.

não tenho certeza de que vai funcionar/

> Alguem sabe me informar se os pacotes que sao marcados e redirecionados,
> ao voltarem, continuam com a mesma "marca" ?

porisso é que não sei se funciona.

> Ou alguem conhece uma outra solucao para situacoes como essa?

sim, coloque outro endereço no servidor interno (screened host) e desvie 
para um endereço o que vier do link 1 e para o outro o que vier do link 2, 
aí é fácil estabelecer rotas de retorno consistentes.


>
> Qualquer ajuda eh muito bem vinda!
>
> Obrigado
>
> Edison
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>