[Tech] 4 fili [di rete]

Sheikholeslami Navid (bonjo) shnavid@cyberbeat.it
Mer 29 Gen 2003 22:37:01 CET 

> Ho una macchina,
> ha eth0 (indirizzo pubblico primario)
> eth1 (indirizzo privato su una sottorete interna)
> eth2 (indirizzo pubblico su un'altra sottorete)
> xxxx [non so ancora che interfaccia avra`] (indirizzo pubblico su un
> modem adsl)
> cosa voglio:
> cio che va alle macchine sulle sottoreti in eth0, eth1 eth2
> ovviamente vada su tali porte.
> Il resto del traffico, eccetto quello diretto due certe reti (che
> identifico semplicemente con una netmask) vada su eth0 (che ha
> un suo gateway)  e il traffico per queste altre due reti sulla adsl ...
> Fin qui con route la cosa è facile .
> Ecco il difficile:
> Se il pacchetto sul ramo "canonico" eth0 non passa deve provare
> sulla adsl, e se anche questa fallisce sulla eth2 (su cu c'è altro gw).
> se invece fallisce sulla adsl provare prima su eth0 e poi su eth2. con
> uso del campo metric posso ottenere questo ?

se ho capito bene il problema, io mi affiderei ad un protocollo di
routing, sempre che tu abbia la possiblita di abilitarlo su tutti i tuoi
gateway.

> Ancora più difficile: eth1 è una sottorete privata e esce solo tramite
> proxy. Posso dire a squid (e solo a squid) che non faccia il fallback
> (ossia se la porta "deputata" non risponde non tenti diversi
> instradamenti ?)

puoi bindare gli outgoing socket di squid ad un IP determinato, e poi fare:
ip rule add iif lo from TCP_OUTGOING_DI_SQUID table 30
ip route add default table 30 via GATEWAY_FISSO_PER_SQUID

in questo modo i pacchetti provenienti da quell'IP passeranno sempre dal
gateway specificato, quindi sarebbe corretto assegnare a squid un IP
(alias) che utilizzera' solo lui.

> difficile bis: posso dire a ftp server che anche se la richiesta gli
> arriva da adsl i dati li passi solo via eth0 ?
> (ripeto: la macchina ha 3 indirizzi pubblici)

solita cosa, pero' stavolta sei costretto ad usare il fwmark di iptables

iptables -t mangle -A FORWARD -p tcp -s IP_DEL_SERVER_FTP -m multiport
--sport 20,21 -j MARK --set-mark 21
ip rule add iif lo fwmark 21 table 40
ip route add default table 40 via GATEWAY_FISSO_PER_FTP

>
> --
> Leonardo Boselli
> Nucleo Informatico e Telematico del Dipartimento Ingegneria Civile
> Universita` di Firenze , V. S. Marta 3 - I-50139 Firenze
> tel +39 0554796431 cell +39 3488605348 fax +39 055495333
> http://www.dicea.unifi.it/~leo

"Believe you can, believe you can't; either way, you're right" - Henry Ford
"Security is a process, not a product..." - Bruce Schneier

Sheikholeslami Navid <shnavid@cyberbeat.it>
Key fingerprint = D6FA 566F C9D0 7A17 F25A  1C7C 21F6 3E22 01A7 F604
GPG Key: http://www.navid.cyberbeat.it/shnavid.gpg

Maggiori informazioni sulla lista flug-tech