策略路由服务器有一个接口不能被访问

lijiangt · 发表于 2006-7-14 17:12:52

我所指的不是iptables MASQUERADE的问题。
主要是一般只能找到一部分网络的ip分配，要把所有地址都写到路由表，变成静态路由不太现实。
为了别人正常访问这台服务器就得这样：
ip route add default via x.x.x.1 dev eth0 table 100
ip route add default via y.y.y.1 dev eth1
ip rule add from 教育网ip table 100
为了内网的用户可以策略路由还得这样：
ip route add to 教育网ip table100
这样内网的用户可以策略路由了，教育网的ip被ping应该也没有问题。公共网的ip地址被公共网机器ping应该也没有问题，但公共网的ip被教育网的机器ping的时候就不通了。这个路由怎么写？

springwind426 · 发表于 2006-7-14 20:47:15

通常情况下，网关是不允许别人访问的，所以不需要设置诸如：
ip route add default via x.x.x.1 dev eth0 table 100
ip route add default via y.y.y.1 dev eth1 table 200

ip rule add from x.x.x.x table 100
ip rule add from y.y.y.y table 200

这样的设置。

因为这个主要是用来设置拥有双IP的单台服务器

springwind426 · 发表于 2006-7-14 20:49:57

我现在的网络情况也是一个教育网，一个网通

我的网关上设置是：

添加教育网的地址范围，走教育网接口，缺省情况下走网通的接口

在教育网接口和网通接口上都做地址转换

lijiangt · 发表于 2006-7-15 13:59:26

Post by springwind426
我现在的网络情况也是一个教育网，一个网通

我的网关上设置是：

添加教育网的地址范围，走教育网接口，缺省情况下走网通的接口

在教育网接口和网通接口上都做地址转换

我们现在的服务器的做法跟你类似，现在上网都很正常，但现在这台服务器上还发布了一个简单的网站，希望不管是在那种网络都能正常访问，并且要求速度不能太慢。所以还需要加一些路由。

lijiangt · 发表于 2006-7-28 16:36:10

#!/bin/sh
edu_gateway_ip=59.64.177.1
#beijing
route -A inet add -net 162.105.0.0 netmask 255.255.0.0 gw $edu_gateway_ip
route -A inet add -net 166.111.0.0 netmask 255.255.0.0 gw $edu_gateway_ip
route -A inet add -net 202.4.128.0 netmask 255.255.224.0 gw $edu_gateway_ip

route -A inet add -net 202.112.64.0 netmask 255.255.192.0 gw $edu_gateway_ip
route -A inet add -net 202.112.128.0 netmask 255.255.128.0 gw $edu_gateway_ip
route -A inet add -net 202.113.0.0 netmask 255.255.0.0 gw $edu_gateway_ip
route -A inet add -net 202.204.0.0 netmask 255.252.0.0 gw $edu_gateway_ip
route -A inet add -net 210.31.0.0 netmask 255.255.0.0 gw $edu_gateway_ip
route -A inet add -net 211.68.0.0 netmask 255.255.0.0 gw $edu_gateway_ip
route -A inet add -net 211.71.0.0 netmask 255.255.0.0 gw $edu_gateway_ip
......略

最新我试了下，发现在cosix server3.1(2.4.20)和centOS4(2.6.8)下面这样配置，两个接口无论是在教育网还是公共网都可以正常ping通；但是在debian 3.0 woody(2.4.21)和debian 3.1 testing(2.6.15)下面都有之前说的那问题。前面的两个操作系统都是基于Redhat操作系统的，不知道是不是在Redhat里面有什么默认的设置不一样。

不知道有没有哪位知道的？？？

lijiangt · 发表于 2006-9-8 17:43:13

问题已经解决。

给debian换个redhat的内核并且把/etc/network/options中的spoolprotect关掉就可以了。

关于具体原因，俺正在查redhat kernel src rpm中spec脚本中关于网络的patch.

qdzhuang2618 · 发表于 2006-9-9 09:23:42

是要traceroute一下
半路有个防火墙就可以
现在很多学校都有防火墙,防止网通电信访问教育网资源

lijiangt · 发表于 2006-9-9 14:48:13

俺给其它的机器都设置两个ip：教育网ip和内网ip 192.168.199.*，然后把网关设置成192.168.199.1。
俺现在的服务器的ip虽然是教育网，但如果公网的用户访问时会从教育网线路找到俺的服务器，然后会先到192.168.199.1，然后从公共网的线路返回包回去。呵呵。下载带宽大，但上传带宽小。

lijiangt · 发表于 2006-9-20 13:12:23

查了下redhat关于核心网络部分打了下面几个patch:
# Core networking fixes.
Patch1300: linux-2.6.9-net-ipv6-fix-mtu-calculation.patch
Patch1301: linux-2.6.9-net-vlan-change_mtu-success.patch
Patch1302: linux-2.6.9-net-SIOCGIFHWADDR-NULL-dev_addr.patch
Patch1303: linux-2.6.9-net-compat-missing-security.patch
Patch1304: linux-2.6.9-net-xfrm-fixes.patch
Patch1305: linux-2.6.9-net-cmsg_signedness.patch
Patch1306: linux-2.6.9-net-ftp_conntrack_leak.patch
Patch1307: linux-2.6.9-net-ip_options_leak.patch
Patch1308: linux-2.6.9-net-procroute-stale-pointer.patch
Patch1309: linux-2.6.9-net-bonding-panic.patch
Patch1310: linux-2.6.9-net-sk_forward_alloc-BUG.patch
Patch1311: linux-2.6.9-net-tcp-bic-fix.patch
Patch1312: linux-2.6.9-net-fragment-corruption.patch
Patch1313: linux-2.6.9-net-sctp-recv-accounting.patch
Patch1314: linux-2.6.9-net-ipsec-sa-sequence-collision.patch
Patch1315: linux-2.6.9-net-sctp-sendbuffer-accounting.patch
Patch1316: linux-2.6.9-net-snmp6-fix-crash-on-shutdown.patch
Patch1317: linux-2.6.9-net-igmp-avoid-tx-balance.patch
Patch1318: linux-2.6.9-net-ipsec-spinlock-deadlock.patch
Patch1319: linux-2.6.9-net-conntrack-procfiles-remove.patch
Patch1320: linux-2.6.9-net-bonding-arp-failover-fix.patch
Patch1321: linux-2.6.9-net-ipv6-exthdrs-bug.patch
Patch1322: linux-2.6.11-net-sctp-bind.patch
Patch1323: linux-2.6.9-update-bonding-doc.patch
Patch1324: linux-2.6.9-qeth-ipv6-ui64.patch
Patch1325: linux-2.6.9-ipv6-leak-route.patch
Patch1326: linux-2.6.12-netlink-hang.patch
Patch1327: linux-2.6.12-net-sctp-bind-to-device.patch
Patch1328: linux-2.6.12-sysctl-route-perms.patch
Patch1329: linux-2.6.12-ipvs-conn-flush.patch
Patch1330: linux-2.6.12-tcp-output.patch
Patch1331: linux-2.6.12-network.patch
Patch1332: linux-2.6.9-bonding.patch
Patch1333: linux-2.6.9-net-sctp-shutdown.patch
Patch1334: linux-2.6.9-net-sctp-receive-buffer.patch

下一步就是要去找找这些patch的说明。

Yuri · 发表于 2006-9-20 15:28:04

兄弟是北邮的?

		自动登录	找回密码
密码			注册