Sapytsky Ilya -> debian-russian@lists.debian.org @ Mon, 19 May 2008 13:53:47 +0400:
>> >> Если TCP, то можно. В TCP обратный пакет идет с того же адреса, на
>> >> который пришел исходный. Дальше строго по соответствующей главе
SI> lartc.
>> >> Если почтовка стоит за DNAT, то, соответственно, натить разные адреса
>> >> надо в разные.
>> >>
>> SI> нет, почтовка стоит за firewall, на котором 4 интерфейса для 2х
>> SI> провайдеров по 2 сетевухи. Как на это firewall это сделать - думаю
>>
>> "Кто на ком стоял?" Конфигурацию опиши подробно. Интерфейсы и адреса
>> на почтовке и на файрволе, и соотношение их с провайдерами. Можно
>> ненастоящие, но соответствие должно быть :-)
>>
>> У тебя только что было 2 интерфейса, а уже стало 4...
SI> ситуация такая:
SI> структура моих внешних сетей
SI> / mail 1.0.1.2
SI> пров1 20.0.0.1 \ / 1.0.1.1 - ftp 1.0.1.3
SI> firewall
SI> пров2 30.0.0.2 / \ 2.0.2.2
SI> \ vpn 2.0.2.3
SI> и мне надо прикрутить к машине mail еще одну сетевуху и сделать на ней
SI> второй mx
SI> чтобы было так
SI> / mail 1.0.1.2 --\
SI> пров1 20.0.0.1 \ / 1.0.1.1 - ftp 1.0.1.3 \
SI> firewall |
SI> пров2 30.0.0.2 / \ 2.0.2.2 -------2.0.2.4-----/
SI> \ vpn 2.0.2.3
SI> нарисовал вроде как более-менее понятно...
SI> при этом надо будет настраивать пока непонятно как routing на машинках mail
SI> и firewall соответственно, чтобы этот трафик можно было выпустить...
SI> Наверное всё это хозяйство можно как-нибудь переделать, чтобы было более
SI> оптимально, но пока не знаю как...
Не, еще одну сетевуху совершенно ни к чему. Достаточно еще один адрес
на ту же сетевуху. Можно в той же подсети. На почтовке по идее больше
ничего делать не надо. Она будет отвечать с того адреса, на который
пришли, а маршрут тот же самый.
мне в vmware несложно еще одну сетевуху нарисовать :) ибо все интернет сервисы у меня виртуализированы.
из той же подсети не надо, ибо у меня есть 2 белые сети провайдеров. Именно ради 2х разных ip из разных сетей это всё и затевалось.
Судя по тому, что я вижу, у тебя, похоже, все-таки DNAT на файрволе, а
не просто маршрутизация. Разница, впрочем, невелика. Просто надо его
настроить так, чтобы он пакеты для одного из внешних адресов mx
пробрасывал на один его внутренний адрес, а для другого - на другой.
нет, у меня именно марштутизация, у меня от 2х провайдеров есть 2 белых сети на 16 адресов каждая, которые на рисунке обозначены
1.0.1.1 и далее и
2.0.2.2 и далее
А дальше - http://lartc.org/howto/lartc.rpdb.multiple-links.html. Тебя
интересует не load balancing, а split access. Это делается на файрволе.
В случае с NAT может быть разница во фрагменте
ip rule add from $IP1 table T1
ip rule add from $IP2 table T2
Тут может потребоваться указывать внутренние адреса почтовки, а не
внешние, поскольку, если я правильно ошибаюсь, на момент принятия
решения о роутинге обратный NAT еще не произведен.