Policy based routing

[Omadon]

Jel se da pomocu iptablesa i iproute2 napraviti neku vrstu policy based routinga.
Znaci imam dva interfacea. Defaultna routa gleda na prvi. Nekakav promet mi dodje
preko drugog interface na port 80 i ja bi htio da se paketi za tu sesiju vrate
preko tog istog interfacea. Klijenti koji pristupaju portu 80 dolaze sa razlicitih
adresa te nije moguce mijenjat defaultnu routu.

--
Dee Dee: You need a character too.
Dexter: I want to be Gygex, the 27th level warrior mage with
a class 18 soul-sucking-sword and...
Dee Dee: Here you go, you can be this guy.
Valarian: Well, it seems Hodo the furry footed burrower has joined our quest.

oma...@globalnet.hr

[Josip Almasi]

Omadon wrote:
>
> Jel se da pomocu iptablesa i iproute2 napraviti neku vrstu policy based routinga.
> Znaci imam dva interfacea. Defaultna routa gleda na prvi. Nekakav promet mi dodje
> preko drugog interface na port 80 i ja bi htio da se paketi za tu sesiju vrate
> preko tog istog interfacea. Klijenti koji pristupaju portu 80 dolaze sa razlicitih
> adresa te nije moguce mijenjat defaultnu routu.

AFAIK to tako i radi, bez obzira na default route.
Prije ce bit da si zbrljo ostale rute, mozda masku.

Pozdrav...

[Omadon]

Brijem da ne... Kada pingvin salje paket konzultira routing tablicu, nija ga briga
sa kojeg interface je dolazni paket dosao...

[Josip Almasi]

Omadon wrote:
> On Thu, 07 Apr 2011 12:46:04 +0200, Josip Almasi<j...@vrspace.org> wrote:
>> Omadon wrote:
>>>
>>> Jel se da pomocu iptablesa i iproute2 napraviti neku vrstu policy based routinga.
>>> Znaci imam dva interfacea. Defaultna routa gleda na prvi. Nekakav promet mi dodje
>>> preko drugog interface na port 80 i ja bi htio da se paketi za tu sesiju vrate
>>> preko tog istog interfacea. Klijenti koji pristupaju portu 80 dolaze sa razlicitih
>>> adresa te nije moguce mijenjat defaultnu routu.
>>
>> AFAIK to tako i radi, bez obzira na default route.
>> Prije ce bit da si zbrljo ostale rute, mozda masku.
>>
>> Pozdrav...
>
> Brijem da ne... Kada pingvin salje paket konzultira routing tablicu, nija ga briga
> sa kojeg interface je dolazni paket dosao...

Pa konzultira routing tablicu, da. Default route nije jedina u tablici.
Routing tablica takodjer moze sadrzavati interface.

Pozdrav...

[Matija Nalis]

On 2011-04-07, Omadon <oma...@toymaster.globalnet.hr> wrote:
> Jel se da pomocu iptablesa i iproute2 napraviti neku vrstu policy based routinga.

Da (ako sam skuzio sto ti treba :)
Nekad cak i bez iptablesa, ovisno o tome sto tocno hoces...

> Znaci imam dva interfacea. Defaultna routa gleda na prvi. Nekakav promet mi dodje
> preko drugog interface na port 80 i ja bi htio da se paketi za tu sesiju vrate
> preko tog istog interfacea. Klijenti koji pristupaju portu 80 dolaze sa razlicitih
> adresa te nije moguce mijenjat defaultnu routu.

ukoliko je pristupajucem klijentu destination IP adresa tvog servera
razlicita u ovisnosti na koji IF je dosao (obicno slucaj - svaki IF ima
drugu IP adresu, na koju se onda klijent spaja), onda to rijesis sa jednim
"ip rule add from xxx table bla" i jednim "ip route add default via yyy
table bla"

vidi recimo http://lartc.org/howto/lartc.rpdb.html i ip(8)

ukoliko ti trebaju neki kompleksniji rulovi, onda trosis "ip rule add fwmark
zzz" u kombinaciji sa odgovarajucim fwmarkom kojeg postavis sa iptables(8)

--
Opinions above are GNU-copylefted.

[Matija Nalis]

On Fri, 08 Apr 2011 13:53:28 +0200, Josip Almasi <j...@vrspace.org> wrote:
>>> Omadon wrote:
>>>> Jel se da pomocu iptablesa i iproute2 napraviti neku vrstu policy based routinga.
>>>> Znaci imam dva interfacea. Defaultna routa gleda na prvi. Nekakav promet mi dodje
>>>> preko drugog interface na port 80 i ja bi htio da se paketi za tu sesiju vrate
>>>> preko tog istog interfacea. Klijenti koji pristupaju portu 80 dolaze sa razlicitih
>

> Pa konzultira routing tablicu, da. Default route nije jedina u tablici.

Obicno nije, da.

> Routing tablica takodjer moze sadrzavati interface.

Ne samo da "moze", nego je prilicno nemoguce da routing tablica NE sadrzi
interface (direktno ili indirektno - preko mreze u kojoj GW)

Ali routing tablica radi prema destination adresi ODLAZNOG paketa (a koja je
obicno ista kao sto je bila source adresa DOLAZNOG paketa).

A covjek koliko sam ja shvatio ne zeli routati prema destination adresi
odlaznog paketa (kao sto je obicaj) nego prema necemu totalno desetome
(procitaj na vrhu), ergo, trebati ce mu policy routing ("ip rule" & friends)

[Josip Almasi]

Matija Nalis wrote:
> On Fri, 08 Apr 2011 13:53:28 +0200, Josip Almasi <j...@vrspace.org> wrote:
>>>> Omadon wrote:
>>>>> Jel se da pomocu iptablesa i iproute2 napraviti neku vrstu policy based routinga.
>>>>> Znaci imam dva interfacea. Defaultna routa gleda na prvi. Nekakav promet mi dodje
>>>>> preko drugog interface na port 80 i ja bi htio da se paketi za tu sesiju vrate
>>>>> preko tog istog interfacea. Klijenti koji pristupaju portu 80 dolaze sa razlicitih
>> Pa konzultira routing tablicu, da. Default route nije jedina u tablici.
>
> Obicno nije, da.
>
>> Routing tablica takodjer moze sadrzavati interface.
>
> Ne samo da "moze", nego je prilicno nemoguce da routing tablica NE sadrzi
> interface (direktno ili indirektno - preko mreze u kojoj GW)
>
> Ali routing tablica radi prema destination adresi ODLAZNOG paketa (a koja je
> obicno ista kao sto je bila source adresa DOLAZNOG paketa).

Da.

> A covjek koliko sam ja shvatio ne zeli routati prema destination adresi
> odlaznog paketa (kao sto je obicaj) nego prema necemu totalno desetome
> (procitaj na vrhu), ergo, trebati ce mu policy routing ("ip rule" & friends)

Je na vrhu pise nesto, a onda elaborira da oce da mu web server radi i
iznutra i izvana, za sto ne treba nista osim route.

Pozdrav...

[Matija Nalis]

On Tue, 12 Apr 2011 14:37:39 +0200, Josip Almasi <j...@vrspace.org> wrote:
> Matija Nalis wrote:
>> A covjek koliko sam ja shvatio ne zeli routati prema destination adresi
>> odlaznog paketa (kao sto je obicaj) nego prema necemu totalno desetome
>> (procitaj na vrhu), ergo, trebati ce mu policy routing ("ip rule" & friends)
>
> Je na vrhu pise nesto, a onda elaborira da oce da mu web server radi i
> iznutra i izvana, za sto ne treba nista osim route.

Pa, meni nije izgledalo tako - niti da uopce ima iznutra i izvana (vise mi
zvuci kao da ima barem dva "iznutra" i jos eventualno pokoji za van koji ne
spominje jer nije bitan za pricu) ?

Anyway, da je to sto pricas, sve bi mu radilo by default bez da je ista i
dirao, a obziram da pita, pretpostavljam da mu ne radi...

Anyway, tesko cemo znati osim ako se covjek ne vrati pa pojasni.

[Mario Mikočević]

On Thu, 07 Apr 2011 06:28:56 +0000, Omadon wrote:

> Jel se da pomocu iptablesa i iproute2 napraviti neku vrstu policy based
> routinga. Znaci imam dva interfacea. Defaultna routa gleda na prvi.
> Nekakav promet mi dodje preko drugog interface na port 80 i ja bi htio
> da se paketi za tu sesiju vrate preko tog istog interfacea. Klijenti
> koji pristupaju portu 80 dolaze sa razlicitih adresa te nije moguce
> mijenjat defaultnu routu.

Da, koristiš policy routing i zanemariš port (pretpostavimo da ti ne treba) ->

recimo da imaš
eth0 192.168.0.0/24
eth1 192.168.250.0/24
gw 192.168.0.1

datoteka /etc/iproute2/rt_tables
..
250 NOVARUTA

datoteka /etc/sysconfig/network-scripts/rule-eth1
from 192.168.250.0/24 table NOVARUTA

datoteka /etc/sysconfig/network-scripts/route-eth1
192.168.250.0/24 dev eth1 table NOVARUTA
default dev eth1 via 192.168.250.1 table NOVARUTA

</spoonfeed>

--
Mario Mikocevic (Mozgy)
mario dot mikocevic at sk dot t dash com dot hr
It's never too late to have a good childhood!
The older you are, the better the toys!
My favourite FUBAR ...

[Omadon]

Zhavlajujem, budem probao, ovo izgleda kao ono sto mi treba.