[Tech] 4 fili [di rete]

Sheikholeslami Navid (bonjo) shnavid@cyberbeat.it
Mer 29 Gen 2003 23:00:43 CET 

> On 29 Jan 2003, at 22:37, Sheikholeslami Navid (bonjo) wrote:
>> > route la cosa è facile . Ecco il difficile: Se il pacchetto sul
>> ramo "canonico" eth0 non passa deve provare sulla adsl, e se anche
>> questa fallisce sulla eth2 (su cu c'è altro gw). se invece fallisce
>> sulla adsl provare prima su eth0 e poi su eth2. con uso del campo
>> metric posso ottenere questo ?
>> se ho capito bene il problema, io mi affiderei ad un protocollo di
>> routing, sempre che tu abbia la possiblita di abilitarlo su tutti i
>> tuoi gateway.
> No, non posso toccare i GW ...
> bisognerebbe che riuscissi a intercettare quando un pacchetto non  ha
> risposta e quindi cambiare la route al volo.

potresti farti uno scriptino che prova i vari link e che cambia la
metrica ad esempio.

>
>> > Ancora più difficile: eth1 è una sottorete privata e esce solo
>> tramite proxy. Posso dire a squid (e solo a squid) che non faccia
>> il fallback (ossia se la porta "deputata" non risponde non tenti
>> > diversi instradamenti ?)
>> puoi bindare gli outgoing socket di squid ad un IP determinato, e poi
>> fare: ip rule add iif lo from TCP_OUTGOING_DI_SQUID table 30 ip route
>> add default table 30 via GATEWAY_FISSO_PER_SQUID
>> in questo modo i pacchetti provenienti da quell'IP passeranno sempre
>> dal gateway specificato, quindi sarebbe corretto assegnare a squid un
>> IP (alias) che utilizzera' solo lui.
> No. La macchina ha 3 IP e non posso aggiungerne.
> fra l'altro il gateway non è fisso. è solo che se una rete
> normalmente si raggiunge tramite eth0 se non funziona non deve
> provare con le altre porte, ma lo stesso anche per eth1 e adsl ....

puoi pero' aggiungere IP sul device "lo", e fare il giochetto del routing
statico basato sulla sorgente.

>> > difficile bis: posso dire a ftp server che anche se la richiesta
>> gli arriva da adsl i dati li passi solo via eth0 ? (ripeto: la
>> macchina ha 3 indirizzi pubblici)
>> solita cosa, pero' stavolta sei costretto ad usare il fwmark di
>> iptables
>> iptables -t mangle -A FORWARD -p tcp -s IP_DEL_SERVER_FTP -m
>> multiport --sport 20,21 -j MARK --set-mark 21 ip rule add iif lo
>> fwmark 21 table 40 ip route add default table 40 via
>> GATEWAY_FISSO_PER_FTP
> ma in questo caso semplicemente forzare tutto il traffco della porta
> data di ftp, indipendentemente dall'origine, su una sola interfaccia
> non basterebbe ?

certo che basta, pero' che ne so' io quanti server ftp c'hai li' :)

> Leonardo Boselli
> Nucleo Informatico e Telematico del Dipartimento Ingegneria Civile
> Universita` di Firenze , V. S. Marta 3 - I-50139 Firenze
> tel +39 0554796431 cell +39 3488605348 fax +39 055495333
> http://www.dicea.unifi.it/~leo

"Believe you can, believe you can't; either way, you're right" - Henry Ford
"Security is a process, not a product..." - Bruce Schneier

Sheikholeslami Navid <shnavid@cyberbeat.it>
Key fingerprint = D6FA 566F C9D0 7A17 F25A  1C7C 21F6 3E22 01A7 F604
GPG Key: http://www.navid.cyberbeat.it/shnavid.gpg

Maggiori informazioni sulla lista flug-tech