2 сообразительные сетевухи
Есть. Ботай policy routing.
iptables
а если у чела винда?
route -f -p add 10.0.0.0 MASK 255.0.0.0 %GW1%
route add -p 10.0.0.0 MASK 255.0.0.0 %GW2%
route add -p 172.16.0.0 MASK 255.240.0.0 %GW1%
route add -p 172.16.0.0 MASK 255.240.0.0 %GW2%
route add -p 10.0.0.0 MASK 255.0.0.0 %GW2%
route add -p 172.16.0.0 MASK 255.240.0.0 %GW1%
route add -p 172.16.0.0 MASK 255.240.0.0 %GW2%
такой случай описан в LARTC, но там много странной х**ни, поэтому скажу здесь основную идею
идея очень простая
нужно по одной таблице маршрутизации на подключенную сеть
в эти таблицы будут смотреть, когда src ip у пакета принадлежит соотв. сети
там должен быть маршрут, соответствующий сегменту, куда смотрит интерфейс, и ещё default либо список
таблицы имеют номера и опционально имена (соответствие прописано в /etc/iproute2/rt_tables)
для примера, я мог бы таблицу для msu настроить так:
и ещё одну таблицу (обычную, main в которую будут смотреть, когда src ip ещё не определён
там должны быть оба присоединённых сегмента, плюс остальные маршруты как-то разбросаны по сетям
потом нужны правила для выбора таблиц, по одному на каждую сеть, типа такого
это всё
в LARTC рекомендуют ещё какие-то левые маршруты и правила - они не нужны
идея очень простая
нужно по одной таблице маршрутизации на подключенную сеть
в эти таблицы будут смотреть, когда src ip у пакета принадлежит соотв. сети
там должен быть маршрут, соответствующий сегменту, куда смотрит интерфейс, и ещё default либо список
таблицы имеют номера и опционально имена (соответствие прописано в /etc/iproute2/rt_tables)
для примера, я мог бы таблицу для msu настроить так:
ip ro add 172.16.16.0/22 dev eth1 table t.msu
ip route add default dev eth1 via 172.16.16.1 table t.msu
и ещё одну таблицу (обычную, main в которую будут смотреть, когда src ip ещё не определён
там должны быть оба присоединённых сегмента, плюс остальные маршруты как-то разбросаны по сетям
потом нужны правила для выбора таблиц, по одному на каждую сеть, типа такого
ip rule add pref 100 from 172.16.16.10 lookup t.msu
это всё
в LARTC рекомендуют ещё какие-то левые маршруты и правила - они не нужны
Оставить комментарий
yulya
Есть 2 сетевые карты (хакерсы и сс) с корректно прописанными маршрутами (явно указаны все доступные нахаляву подсети и для каждой указан интерфейс, с которого это всё отправлять). Всё работает, да только мне не нравится как. Посмотрим, что происходит, когда ссовский абонент пингует мой хакерский интерфейс.1) ping приходит на мой хакерский интерфейс.
2) Формируется ответ
3) Система проверяет назначение, видит, что собеседник из сс и отправляет pong через ссовский интерфейс, записывая в качестве src мой ссовский ip шник.
4) pong доходит до адресата, тот не знает, что делать с пакетом, который пришёл с непойми какого адреса и уничтожает его. Пинг не прошёл.
В результате собеседник вынужден использовать из моих интерфейсов только тот, который лежит в нужной подсети.
Как бы извернуться, чтоб не было такого эффекта? Есть в linux вообще какие-нибудь средства, чтоб это поправить?