Routování veřejné IP - Historie editací

Pavkriz v 17. 6. 2011, 11:26

2011-06-17T11:26:57Z

PeS: nastaveni a overeni proxy_arp

2010-05-25T09:49:51Z

nastaveni a overeni proxy_arp

PeS: Doplnění pro klienty, poznámka pro správce

2009-11-29T00:08:39Z

Doplnění pro klienty, poznámka pro správce

Jrk: Stránka RoutovÃ¡nÃ veÅ™ejnÃ© IP přemístěna na stránku Routování veřejné IP

2009-01-17T16:58:25Z

Stránka RoutovÃ¡nÃ veÅ™ejnÃ© IP přemístěna na stránku Routování veřejné IP

10.107.54.66 v 30. 5. 2007, 18:16

2007-05-30T18:16:21Z

62.77.84.243 v 30. 5. 2007, 15:18

2007-05-30T15:18:38Z

62.77.84.243 v 29. 5. 2007, 13:21

2007-05-29T13:21:08Z

Lada: /* Pro správce */

2006-01-13T13:05:32Z

Pro správce

147.251.55.76 v 6. 1. 2006, 19:14

2006-01-06T19:14:21Z

Cermis v 11. 12. 2005, 09:39

2005-12-11T09:39:54Z

Nová stránka

===Pro správce===
*Nejdříve je potřeba přidat cestu (routu) k přidělené IP (idealně do zebra.conf)

Příklad:

eth0 je interface na který je připojen klient a 85.132.160.55 je přidělená IP.
ip route 85.132.160.55/32 eth0
Pokud se bude přes jeden interface připojeno víc lidí s veřejnou IP vedle sebe, tak je lepší dávat do zebra.conf i routy s větší maskou. (''Vlastně je to více než vhodné!'')

*Zkontroluji, jestli nedistribuuji veřejnou IP s podivně malou metrikou (1, 20 apod.)

na charonu spustím
ip route |grep 85.132.16
a podívám se, jestli je metrika OK, pokud není, tak se podívám do svého ospfd.conf
router ospf
ospf router-id 10.107.xx.xx
redistribute connected metric-type 1 route-map just-10
redistribute kernel metric-type 1
redistribute static metric-type 1
...
zde je klíčové kouzelné slovo '''metric-type 1'''

*Zapnu proxy_arp (a hodím do nějakého init scriptu)

echo 1 > /proc/sys/net/ipv4/conf/all/proxy_arp
echo 1 > /proc/sys/net/ipv4/ip_nonlocal_bind

*Přidám na router IP '''85.132.160.1''' a ujistím se, že není ! distribuovaná ! přes ospf (nemělo by se stát ani při redistribute static, redistribute kernel). Tato IP slouží jako brána pro uživatele. (Protože není distribuovaná, tak nikde nemůže vzniknout její duplicita - stejný funkční efekt by měl statický arp záznam, ale klient pak nemůže bránu pingnout, což není správně)
Tu IP by mělo stačit dát na jeden interface na routru a okamžitě by mělo být možné ji pingnout ze všech ostatních ifaců (díky arp_proxy). Pokud ne, přidám tuto IP na potřebné ifacy. I když jde o podsíť /23, stačí mít bránu jako /32, ale není to nutné.
ip addr add 85.132.160.1/32 dev eth0

*Upravím DNS záznam na charonu v /etc/bind/master/85.132.160 nebo /etc/bind/master/85.132.161, /etc/bind/master/hkfree.org a /etc/bind/master/hkfree.org-out a změním serial (o přístup žádejte na ip@hkfree.org se svým loginem na charona). Dám si pozor na to, abych needitoval tyto soubory, když je edituje někdo jiný.

*Oznámím svém připojenci, že by mu to mělo jet.

*Příchozí spojení uživateli zablokuji následujícím pravidlem, pokud bude potřeba
iptables -A FORWARD -d '''komu''' -p tcp --syn -j REJECT --reject-with tcp-reset

@@ Řádek 54: / Řádek 54: @@
 *Příchozí spojení uživateli zablokuji následujícím pravidlem, pokud bude potřeba
   iptables -A FORWARD -d '''komu''' -p tcp --syn  -j REJECT --reject-with tcp-reset
 ===Pro klienta===
 Nastavím si IP adresu 85.132.160.55 s maskou '''255.255.240.0''' (nikoliv 255.255.255.240 jak by se mohlo zdát např. z přidělného VIP rozsahu pro správce).

← Starší verze		Verze z 25. 5. 2010, 09:49
Řádek 25:		Řádek 25:

	echo 1 > /proc/sys/net/ipv4/conf/all/proxy_arp		echo 1 > /proc/sys/net/ipv4/conf/all/proxy_arp
		+
		+	Zde pozor, za 1 '''MUSÍ být mezera'''!! Na Alixu není potřeba přepínat do RW režimu, proč je spec. filesystem, kde způsob připojení / jako RO nemá vliv na zápis do tohoto nastavení.
		+	Ověření lze provést příkazem cat
		+
		+	cat /proc/sys/net/ipv4/conf/all/proxy_arp
		+
		+	Druhou alternativou místo zapínání přes echo je využití sysctl, kdy stačí do souboru ''/etc/sysctl.conf'' přidat zapnutí proxy_arp:
		+
		+	# arp proxy pro VIP
		+	net.ipv4.conf.all.proxy_arp = 1
		+
		+	a provést reboot nebo zavolat '''sysctl -p'''. Kontrola je opět zavolat výše uvedený '''cat'''.

	Místo all raději použít jenom interfacy, které směřují k lidem, kteří VIP používají.		Místo all raději použít jenom interfacy, které směřují k lidem, kteří VIP používají.

@@ Řádek 25: / Řádek 25: @@
   echo 1 > /proc/sys/net/ipv4/conf/all/proxy_arp
-*Přidám na router IP '''89.248.240.1''' a ujistím se, že není ! distribuovaná ! přes ospf (nemělo by se stát ani při redistribute static, redistribute kernel). Tato IP slouží jako brána pro uživatele. (Protože není distribuovaná, tak nikde nemůže vzniknout její duplicita - stejný funkční efekt by měl statický arp záznam, ale klient pak nemůže bránu pingnout, což není správně)
+Místo all raději použít jenom interfacy, které směřují k lidem, kteří VIP používají.
 Tu IP by mělo stačit dát na jeden interface na routru a okamžitě by mělo být možné ji pingnout ze všech ostatních ifaců (díky arp_proxy). Pokud ne, přidám tuto IP na potřebné ifacy. I když jde o podsíť /23, stačí mít bránu jako /32, ale není to nutné.
-  ip addr add 89.248.240.1/32 dev eth0
+  ip addr add 89.248.255.254/32 dev eth0
 *Upravím DNS záznam na charonu v /etc/bind/master/85.132.160 nebo /etc/bind/master/85.132.161, /etc/bind/master/hkfree.org a /etc/bind/master/hkfree.org-out a změním serial (o přístup žádejte na ip@hkfree.org se svým loginem na charona). Dám si pozor na to, abych needitoval tyto soubory, když je edituje někdo jiný.

← Starší verze		Verze z 6. 1. 2006, 19:14
Řádek 24:		Řádek 24:

	echo 1 > /proc/sys/net/ipv4/conf/all/proxy_arp		echo 1 > /proc/sys/net/ipv4/conf/all/proxy_arp
−	~~echo 1 > /proc/sys/net/ipv4/ip_nonlocal_bind~~

	*Přidám na router IP '''85.132.160.1''' a ujistím se, že není ! distribuovaná ! přes ospf (nemělo by se stát ani při redistribute static, redistribute kernel). Tato IP slouží jako brána pro uživatele. (Protože není distribuovaná, tak nikde nemůže vzniknout její duplicita - stejný funkční efekt by měl statický arp záznam, ale klient pak nemůže bránu pingnout, což není správně)		*Přidám na router IP '''85.132.160.1''' a ujistím se, že není ! distribuovaná ! přes ospf (nemělo by se stát ani při redistribute static, redistribute kernel). Tato IP slouží jako brána pro uživatele. (Protože není distribuovaná, tak nikde nemůže vzniknout její duplicita - stejný funkční efekt by měl statický arp záznam, ale klient pak nemůže bránu pingnout, což není správně)

@@ Řádek 7: / Řádek 7: @@
   ip route 85.132.160.55/32 eth0
 Pokud se bude přes jeden interface připojeno víc lidí s veřejnou IP vedle sebe, tak je lepší dávat do zebra.conf i routy s větší maskou. (''Vlastně je to více než vhodné!'')
 *Zkontroluji, jestli nedistribuuji veřejnou IP s podivně malou metrikou (1, 20 apod.)
@@ Řádek 41: / Řádek 42: @@
 *Příchozí spojení uživateli zablokuji následujícím pravidlem, pokud bude potřeba
   iptables -A FORWARD -d '''komu''' -p tcp --syn  -j REJECT --reject-with tcp-reset

← Starší verze	Verze z 17. 1. 2009, 16:58
(Žádný rozdíl)

@@ Řádek 11: / Řádek 11: @@
 na charonu spustím
-  ip route |grep 85.132.16
+  ip route |grep 89.248.24
 a podívám se, jestli je metrika OK, pokud není, tak se podívám do svého ospfd.conf
   router ospf