Re: outgoing IP ändern?

To: Harald Weidner <hweidner-lists@gmx.net>
Cc: debian-user-german@lists.debian.org
Subject: Re: outgoing IP ändern?
From: Thomas Halinka <lists@thohal.de>
Date: Sat, 14 Feb 2009 00:30:24 +0100
Message-id: <[🔎] 1234567824.24459.21.camel@ubu32>
Reply-to: lists@thohal.de
In-reply-to: <[🔎] gn4off$tid$1@dedi.hweidner.de>
References: <[🔎] gn4off$tid$1@dedi.hweidner.de>

Hi Harald,

Am Freitag, den 13.02.2009, 21:25 +0000 schrieb Harald Weidner:
> Hallo,
> 
> lists@thohal.de:

Ich habe doch ein ordentliches Mail From gesetzt? Zumindest zeigt das
mein MUA so an?!

Bitte um Korrektur, falls ich hier falsch liege....

> >Ich habe hier ein altes HA (v1)-Setup, sodass eine Service-IP zwischen 2
> >Rechner "hin- und hergeschoben" wird
>
> >Nun ist das Firewall/NW-Technisch ja leider so, dass ich den Service
> >über diese "Virtuelle IP" anspreche und die Rückantwort leider von der
> >"physikalischen IP" kommt.
> 
> >"Quasi spreche ich eth0:0 an, aber bekomme Antwort von eth0"
> 
> Ich verstehe nicht ganz, was du meinst.
> 
> Wenn du eine TCP-Verbindung auf die virtuelle Adresse des aktiven Knotens
> aufbaust, tragen auch die Antwortpakete innerhalb der Verbindung diese
> Adresse als Absender-IP-Nummer. Ansonsten käme die TCP-Verbindung gar
> nicht zustande.

_Genau das_ ist mein Problem. Ich kann nicht connecten auf den Port,
obwohl 

--new, established gesetzt ist

mit tcpdump auf dem zielhost sehe ich, dass die Pakete (HTTP, Port 80
tcp) als Source die Physical IP von eth0 tragen.

Daswegen wiederum werden die Packages gedropped an dem Quellrechner.
Müssen hier unsere Firewalls anziehen, weswegen ich für dieses Problem
aktuell eine Lösung suche.

Generell könnte ich natürlich alle IPs freigeben, was mir aber nicht
wirklich sinnig erscheint, da es ja nur um den Service an sich geht...

> >Wie bringe ich denn das System dazu, dass es diese nicht über die
> >"physikalische IP" herausschickt sondern über die "Service-IP"
> 
> Wenn es um UDP-basierte Dienste geht, sieht das anders aus. Hier gibt
> es keine Verbindung, jedes Paket ist unabhängig. Manche UDP basierte
> Dienste erkennen selbständig, welche Adresse sie für Antwortpakete
> verwenden müssen; anderen muss man das über die Konfiguration mitteilen.

ne, reines gutes braves tcp.. Geht um nen Webservice der zwischen 2
Hosts "wandert" und egal wo er liegt, kriegt ich die Antworten von der
physical IP anstatt von der Service-IP :-(

> Letzteres gilt auch für TCP-basierte Anwendungen, die nicht (nur) auf
> einkommende Verbindungen warten, sondern auch selbst welche aufbauen
> (z.B. Squid oder Postfix).

ist n oller Apache....

>  Hier gibt fast immer eine Konfigurationsoption
> für die zu verwendende ausgehende Adresse.

Hmm, bei Indianer auch? :-)

Da wird das doch nur über Listen xyz:Port geregelt?

> Wenn es keine Option gibt, bleibt noch das Tool chbind aus dem Paket
> util-vserver. Damit kann man einem Subprozess in einem Kontext starten,
> in dem nur noch eine Adresse überhaupt sichtbar ist. Ausgehende
> Verbindungen verwenden dann automatisch immer diese Adresse. Voraussetzung
> ist allerdings ein VServer-fähiger Kernel.

Hmm - sind leider XEN-Instanzen.... Aber mal so:

Kann ich das nicht mittels iptables und SNAT gerade ziehen? Das sollte
doch ziehen oder liege ich da falsch? Kann das grad nimma testen, da
schon im WE - daher erst Montag mehr.

> Falls ich dein Problem nicht verstanden habe, bitte ich um eine genauere
> Beschreibung, dessen, was du vorhast und wo es klemmt.

nene, du liegst _vollkommen_ richtig.

> Gruß, Harald

Vielen Dank soweit erstmal,

Viele Grüße

Thomas

Reply to:

Follow-Ups:
- Re: outgoing IP ändern?
  - From: Harald Weidner <hweidner-lists@gmx.net>

References:
- Re: outgoing IP ändern?
  - From: Harald Weidner <hweidner-lists@gmx.net>

Prev by Date: Re: Samba Upgrade und die Tickets
Next by Date: Re: mail an root wird nicht in aliases aufgelöst mit exim4
Previous by thread: Re: outgoing IP ändern?
Next by thread: Re: outgoing IP ändern?
Index(es):
- Date
- Thread