Re: хитрый policy routing

["Sapytsky Ilya" <sova00@gmail.com>]

19 мая 2008 г. 11:59 пользователь Artem Chuprina <ran@ran.pp.ru> написал:
>
> Sapytsky Ilya -> debian-russian@lists.debian.org  @ Mon, 19 May 2008 11:23:20 +0400:
>
>  >> Если TCP, то можно.  В TCP обратный пакет идет с того же адреса, на
>  >> который пришел исходный.  Дальше строго по соответствующей главе lartc.
>  >> Если почтовка стоит за DNAT, то, соответственно, натить разные адреса
>  >> надо в разные.
>  >>
>  SI> нет, почтовка стоит за firewall, на котором 4 интерфейса для 2х
>  SI> провайдеров по 2 сетевухи.  Как на это firewall это сделать - думаю
>
> "Кто на ком стоял?"  Конфигурацию опиши подробно.  Интерфейсы и адреса
> на почтовке и на файрволе, и соотношение их с провайдерами.  Можно
> ненастоящие, но соответствие должно быть :-)
>
> У тебя только что было 2 интерфейса, а уже стало 4...

ситуация такая:
структура моих внешних сетей

 
                                               / mail 1.0.1.2
пров1 20.0.0.1 \           /  1.0.1.1 - ftp  1.0.1.3
                        firewall
пров2 30.0.0.2 /           \ 2.0.2.2
                                               \ vpn 2.0.2.3

и мне надо прикрутить к машине mail еще одну сетевуху и сделать на ней второй mx


чтобы было так
                                               / mail 1.0.1.2 --\
пров1 20.0.0.1 \           /  1.0.1.1 - ftp  1.0.1.3    \
                        firewall                                     |
пров2 30.0.0.2 /           \ 2.0.2.2 -------2.0.2.4-----/                     
                                               \ vpn 2.0.2.3

нарисовал вроде как более-менее понятно...
при этом надо будет настраивать пока непонятно как routing на машинках mail и firewall соответственно, чтобы этот трафик можно было выпустить...
Наверное всё это хозяйство можно как-нибудь переделать, чтобы было более оптимально, но пока не знаю как...